Verona007A rootkit a Win függvényhívásainak eltérítésével tudja önmagát elrejteni. Tehát, ha nyitsz egy intézőt, akkor a win kilistázza a meghajtó tartalmát, ehhez egy függvényt hív meg, hogy ezt megtegye. Ha a víruskereső végignyálazza a meghajtókat akkor ugyanúgy a winnel kilistáztatja a meghajtókat.
Igy volt régen. :)
A beépült rootkit a win függvényhívásait eltéríti, manipulálja, úgy, hogy bizonyos mappákat, fájlokat NEM listáz ki, érdekes módon a rootkitnek a saját "munkamappáját" :), és végrehajtható fájlajait, ezáltal rejtve marad a víruskereső elöl. Tehát ugyanolyan vírus mint a többi, csak el tud rejtőzni.
A korszerű víruskeresők, /ma már majd mindegyik ilyen/ tartalmaznak speciális drivert, hogy a meghajtókat a win megkerülésével, alacsonyabb szinten tudják elérni.