Rootkits sind Sammlungen von Programmen, die es einem Angreifer ermöglichen,

• Backdoor Zugriff auf das System zu haben
• Informationen über andere Systeme im Netzwerk durch Sniffen zu sammeln
• die Tatsache zu verstecken, dass das System kompromittiert ist
• kritische Programme mit modifizierten Alternativen auszutauschen

Mit diesen Fähigkeiten sind sie das klassiche Beispiel eines Trojanischen Pferdes, kombiniert mit einem sehr effektiven Backdoor.

Eines der ersten mächtigen Rootkits wurde 1993 auf einem SunOS System entdeckt. Der Name Rootkit kommt daher, dass der Super-User oder Administrator unter Unix den Benutzernamen root hat. Mittlerweile gibt es auch auf vielen anderen Betriebssystemen Rootkits wie Linux, Solaris, BSD, AIX, IRIX, Windows.
Unter Linux sind die Kernel-Level-Rootkits die am weitesten entwickelte Art der Rootkits. Hier werden Teile der Funktion des Kernels ausgetauscht, was deren Entdeckung sehr schwierig macht.
Die Implementierung kann durch

• LKM, ladbare Kernel Module
• einen Kernelpatch
• Änderung des Kernels im Speicher

geschehen.