Eina d'intrusió
Una eina d'intrusió (en anglès rootkit) és un tipus d'eina informàtica que permet a un intrús comandar un equip informàtic de forma remota a través del sistema operatiu, per a realitzar accions o extreure informació d'aquest, normalment amb finalitats de programari maliciós. Els rootkits donen privilegis d'administrador a l'intrús, resulten ocults per a l'administrador real de l'equip i camuflen les seves accions com a altres processos del sistema, per això de vegades se’ls coneix com a “encobridors”. El nom rootkit prové de la conjunció de les paraules angleses root (arrel, el nom que indica l'accés privilegiat al sistema) i kit (eina, o conjunt d'eines).
El principal perill dels rootkits, quan s'usen amb finalitats de malware, és l'obtenció d'informació sensible com ara documents, contrasenyes o informació de targetes de crèdit si es realitzen operacions bancàries a través d'Internet. També es poden utilitzar per realitzar operacions des d'altres ordinadors de forma remota: el seu objectiu acostumen a ser les aplicacions d'usuari, però també poden atacar el kernel (nucli del sistema operatiu), hipervisors (programari amb capacitat de virtualització) o microprogramaris (blocs d'instruccions per a programari).
Normalment, per instal·lar un rootkit l'atacant obté primer accés privilegiat al sistema, bé a través d'una vulnerabilitat d'aquest o bé aconseguint la contrasenya (crackejant l'encriptament o enganyant l'usuari per obtenir-la). També es pot instal·lar utilitzant un troià. Un cop instal·lat, detectar-lo és complicat i encara més eliminar-lo, perquè el propi rootkit pot ser capaç d'enganyar els programes destinats a trobar-lo i eliminar-lo: de vegades l'única solució és reinstal·lar el sistema operatiu, especialment en els casos en què el rootkit es troba en el kernel. Els programes antivirus inclouen detectors de rootkits que busquen en els processos sospitosos, però en la majoria dels casos el rootkit es protegirà a si mateix suspenent l'activitat en el moment que comença un escaneig del sistema. La detecció es pot dur a terme de manera més fiable des de dispositius externs, com poden ser un CD-ROM de salvament o un dispositiu USB; ja que, en estar inactiu el sistema infectat (l'ordinador en si), el rootkit roman inactiu i no es pot ocultar a si mateix.