Rootkit ابزاریه که اجزاء اصلی سیستم عامل رو به شکلی "آلوده" و "بیمار" میکنه که دیگه نمیشه به خروجی ها/عکس العملهای سیستم عامل و توابع اون اعتماد کرد . تو برای اینکه بفهمی در حال حاضر چند پروسه روی یک سیستم در حال اجراست نهایتا" روی ویندوز باید از چند API و روی لینوکس از یکی دو تا سیستمکال یا بررسی proc/ استفاده کنی ، و اگر نرم افزاری ، قبل از این ، توابع و API های سیستم رو تغییر داده باشه ، یا بین راه برای فراخوانی توابع کمین کرده ، و جوابی که برمیگردونن رو تغییر داده باشه ، تو دیگه نمیتونی به عنوان مثال مطمئن باشی تعداد پروسه هائی که به نظر میاد روی سیستمت واقعا" در حال اجرا هستند ، واقعیه یا غیر واقعی . یعنی هر وقت نرم افزاری تلاش کنه ، با شنود تراکنشهای بین اجزاء سیستم عامل و سیستم عامل و نرم افزارها ، "واقعیت" رو تغییر بده ، یا حتی با تغییر / Patch اجزاء سیستم عامل عملکرد اونها رو به شکلی تغییر بده که "واقعیت" براحتی قابل استخراج نباشه ، اون نرم افزار یک Rootkit است .

گاهی تروجانها برای اینکه کشف شون دشوارتر باشه از یک Rootkit داخلی هم استفاده میکنند ، ولی بهر حال تروجان یک RAT یا Remote Admin Tool است برای کنترل راه دور ، و Rootkit تعریفش تو پاراگراف قبلی ، و اینا لزوما" بهم مربوط نیستند .