Ursprünglich stand der Terminus Rootkit für einen Programm-Bausatz, der es dem Hacker ermöglicht, sich auf der gehackten Maschine festzusetzen, und der ein Entdecken verhindert. Hierfür werden System-Ausführungsdateien wie login, ps, ls und netstat oder System-Bibliotheken (libproc.a) ausgetauscht, sogar ein Kernel-Modul wird installiert. Ziel ist es, Versuche des Anwenders abzufangen, Information darüber zu erhalten, was auf tatsächlich auf seinem Computer abgeht.
In der letzten Zeit erhält die Verwendung von Rootkit-Technologien zur Verbergung der Schadprogramme im System immer größere Verbreitung. Dies ist in der Abbildung 1 ersichtlich.
Rootkits-Quelltexte im Web
Der zunehmende Bekanntheitsgrad von Rootkits steht mit der öffentlichen Verbreitung der Quelltexte vieler Rootkits im Internet im Zusammenhang. Das Einfügen von Änderungen ist für die Autoren der Schadprogramme ein leichtes Spiel. Ein weiterer Aspekt, der die Popularität der Rootkits fördert, ist die Tatsache, dass die Mehrheit der Windows-Anwender mit Admin-Rechten arbeitet, was den Rootkits ihre erfolgreiche Installation auf dem PC bedeutend erleichtert.
Mit der Tatsache, das Rootkits für Anwender unsichtbar bleiben und von Antivirus-Programme nicht entdeckt werden, machen kriminelle Virenschreiber und Entwickler von so genannten "legalen" Spionageprogramme gut und gern öffentlich Reklame.
Rootkit-Technologien für Windows
Gegenwärtig kann man die existierenden Methoden der Rootkits, um im System unerkannt zu bleiben,i n zwei Gruppen einteilen:
1. Modifikation der Abarbeitungswege durch die Anwendungen
2. Modifikation der System-Strukturen