Rootkit 是一個令資訊長充滿夢魘的字眼。它可以像是蠕蟲透過網路耗盡您的資源，或掩護竊取敏感資訊的後門程式。使用者完全不會察覺自己的信用卡資料被竊取了，並且還會帶來高昂的事件處理成本。Rootkit 在過去總是被低調的討論，擔心只要一談及該話題 Rootkit 就一個跟著一個接踵而來。到了今日， Rootkit 就如同一般的惡意程式，只是較難以偵測與移除。

競爭公司、犯罪組織和恐怖份子使用這些工具來攻擊網路和竊取資料。客戶資料的失竊將造成公司百萬以上的財務損失，而且通常內部人員才是造成資料遺失最大的問題。有百分之七十以上的公司他們的價值在於握有的智慧財產資產，這也是競爭對手主要想要取得的資料。 Rootkit 可以在不被偵測到的狀況下用來竊取資訊，這也是為何 Rootkit 是如此危險。
壞份子設計 Rootkit 隱藏系統資訊讓你在數年內也不會發現，因此他們就可以持續存取您的資訊。雖然 Rootkit 有各種的外觀和功能，但相對於後門來說 Rootkit 還算是一個新名詞。許多 Rootkit 所使用的技術是在 90 年代初期由病毒開發者所研發的，並且因為網際網路造成遠端存取式後門大量產生的推波助瀾下跟著茁壯。過去 Rootkit 一直是以 Unix 系統為攻擊目標，而今日也被發展到已經普遍的存在於 Winodws 主機上。

Rootkit 已經夠強悍到可以躲避主機型的防火牆、防毒軟體和入侵偵測/入侵防禦系統。今日， Rootkit 更進軍到手機、64 位元的 Vista 作業系統和裝置韌體上。不論舊版或新式的 Rootkit 正持續威脅著您的資料。

隱藏的管理者
許多 IT 安全專家並不知道現在 Rootkit 的功能已經越來越強悍，而且比廠商所宣稱的更難以偵測。
目前商用或實驗性產品都無法很有效地偵測 Rootkit 。包含從特徵模式掃描器 ( signature-based scanning ) 到啟發式 ( heuristics ) 偵測技術，對 Rootkit 均無法有效偵測。近來 SAIC 及 DARPA 的 HBGary 為了對抗 Rootkit ，研發了商用暨公用網域名稱偵測工具。沒有任何一個單一工具可以偵測所有 Rootkit 。大部分的工具甚至對於我們取樣的 Rootkit 只能偵測不到百分之二十五的數量。多麼令人驚訝的數據，許多我們所取樣的 Rootkit 已經被公開使用達數年之久了。
由於 Rootkit 會使用變形 ( polymorphism ) 的技術讓每一個惡意程式都是唯一的，甚至有不同的雜湊值 ( hash )，因此會讓使用以特徵模式為主的防毒掃描軟體偵測效能不佳。這表示如果有三千台機器被感染，那麼惡意程式檔案就會有三千種不同的雜湊結果－但是它們還是代表相同的惡意程式擁有相同的功能。
如果連已經公開使用達數年之久的 Rootkit 都無法有效的被偵測，那麼該如何偵測經過精心變造和未知的 Rootkit 呢？
Rootkit 為了能夠大量的竊取資訊並躲避現有的商業安全技術，因此根據傳統的檔案與程式隱藏技術來進行發展。惡意程式開發者設計能夠透過網路進行溝通的獨立後門系統，該後門還會內嵌複雜的程式碼來實做獨立於作業系統的 TCP / IP 網路流量。
傳統公開原始碼的 Rootkit 和現代武裝強化後的 Rootkit 的差異就如同玩家的自由交易市場相對於會員專屬的武器交易會。武裝強化後的 Rootkit 針對現有的商業偵測解決方案來進行躲避技術的發展。這些技術包含反電腦鑑識 ( anti-forensics )、反追蹤 ( anti-debugging )、加密、隱藏的命令與控制管道 ( covert command-and-control channels )、鍵盤記錄、遠端畫面記錄、透過麥克風的遠端聲音警報器、電子郵件暨加密前後的文字擷取以及隱藏的資料竊取。
還有更嚴重的。偵測與證據蒐集工具最大的問題就是反電腦鑑識技術。舉例來說，鑑識分析很大一部分的工作就是復原硬碟中的檔案資料。如果 Rootkit 或者惡意程式沒有在硬碟中儲存資料，那麼這類型的鑑識就沒有任何效用。事實上，許多新型的 Rootkit 都是使用「 只存在於記憶體 」的方式來躲避以分析磁碟為主的電腦鑑識。
最常被用來進行反電腦鑑識的技術是被稱為「 加殼 ( packing ) 」 的技術，這表示惡意程式可以很簡單的對它的資料和程式碼進行加密，讓逆向工程－這是分析和對抗 Rootkit 很重要的步驟－更加的困難和消耗資源。為了能夠了解程式內含的資料逆向工程師必須付出更多的心力才能分析該程式。其它的反電腦鑑識技術還包含偵側虛擬主機 ( virtual machines ) 上對於 Rootkit 的除錯或執行行為。