Un rootkit est un programme furtif qui masque ses fichiers, ses processus et ses clés de registre afin d'agir à l'insu de l'utilisateur pour mener à bien un processus malveillant quelconque.
S'il peut s'installer dans la partie utilisateur, ses actions les plus dangereuses ont lieu au niveau du noyau.

1.Modification de la table de description des services système SSDT.

2. Modification de l'objet du noyau DKOM.

3.Attaque du pilote des périphériques de filtre

4.Modification du gestionnaire de services systèmes en mode noyau.

5.Détournement par correction du code à l'exécution.

6.Modification de la table des fonctions IRP (I/O Request Packet).

7.Manipulation de la spécification NDIS (Network Driver Interface Spécification).