Beide Methoden werden zum Verbergen von ungewöhnlichen Netz-Aktivitäten, Registry Änderungen und von auffälligen Prozessen verwendet. Das Ziel lautet dabei, das Erkennen der Schadprogramme durch den Anwender oder das Antiviren-Programm zu verhindern.
Die erste Methode zum Verbergen von Informationen kann sowohl im Anwender- und im Kernel-Modus realisiert werden. Im ersten Fall ist die praktische Umsetzung sehr einfach. Häufiger, als eigentlich sonst durch Applikationen üblich, wird hier eine Methode eingesetzt, die auf dem Abfangen der Aufrufe der API-Funktionen beruht (siehe Abbildung 2).
Typischerweise erfolgen Aufrufe der System-API-Funktionen durch Dienstprogramme entweder über spezielle Datenbereiche (Import/Export-Tabellen), oder mit Hilfe der API-Funktion "GetProcAddress". Da der Programm-Code in DLL-Modulen realisiert ist, kann das Rootkit die Anfragen der Anwendung abfangen und sich so in den Prozess einschleusen.
Somit erhält der Übeltäter die Möglichkeit, alle Anwendungen des Benutzers zu kontrollieren. Die dargestellte Manipulation des Abarbeitungsweges ist gut dokumentiert und einfach in der Realisierung, was ihre Verwendung durch die Rootkits erleichtert.