Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息，比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結合使用。

在懸念迭起的中外諜戰片里，對戰雙方中的一派勢力通常會派遣特工人員潛伏到對手陣營中。這名臥底人員良好的偽裝使得對手對此長時間毫無察覺；為了能夠長期潛伏他不貿然采取高風險行為以免過早暴露自己；他贏得敵人的信任并因此身居要職，這使得他能夠源源不斷地獲取重要情報并利用其獨特渠道傳送回去。

從某種意義上說這位不速之客就是Rootkit——持久并毫無察覺地駐留在目標計算機中，對系統進行操縱、并通過隱秘渠道收集數據的程序。Rootkit的三要素就是：隱藏、操縱、收集數據。

“Rootkit”中root術語來自于unix領域。由于unix主機系統管理員賬號為root賬號，該賬號擁有最小的安全限制，完全控制主機并擁有了管理員權限被稱為“root”了這臺電腦。然而能夠“root”一臺主機并不意味著能持續地控制它，因為管理員完全可能發現了主機遭受入侵并采取清理措施。因此Rootkit的初始含義就在于“能維持root權限的一套工具”。

簡單地說，Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息，比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結合使用。Rootkit通過加載特殊的驅動，修改系統內核，進而達到隱藏信息的目的。

rootkit并不一定是用作獲得系統root訪問權限的工具。實際上，rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具。通常，攻擊者通過遠程攻擊獲得root訪問權限，或者首先密碼猜測或者密碼強制破譯的方式獲得系統的訪問權限。進入系統后，如果他還沒有獲得root權限，再通過某些安全漏洞獲得系統的root權限。接著，攻擊者會在侵入的主機中安裝rootkit，然后他將經常通過rootkit的后門檢查系統是否有其他的用戶登錄，如果只有自己，攻擊者就開始著手清理日志中的有關信息。通過rootkit的嗅探器獲得其它系統的用戶和密碼之后，攻擊者就會利用這些信息侵入其它的系統。