روت‌کيت‌ها برنامه‌هايي هستند که از نظر ساختار کاري بسيار شبيه Trojanها و Backdoorها هستند، ولي با اين تفاوت که شناسايي روت‌کيت بسيار مشکلتر از درب‌هاي پشتي است. زيرا روت‌کيت‌ها جايگزين برنامه‌هاي اجرايي مهم سيستم عامل شده و در گاهي مواقع جايگزين خود هسته مي‌شوند و به هکرها اين اجازه را مي‌دهند که از طريق درب پشتي و پنهان شدن در عمق سيستم عامل به آن نفوذ کنند.

روت‌کيت‌ها معمولاً از سه قسمت تشکيل شده‌اند: (Dropper) بخشي از ويروس است که خود حاوي آلودگي خاصي نيست اما وظيفه‌اش نصب کد آلوده بر روي دستگاه قرباني مي‌باشد، بار‌گذار (Loader) و خودِ روت‌کيت (roo‌tkit).

 روت کيت سنتي: اين روت کيت‌ها بعد از نصب فايل‌هاي سيستم عامل سيستم هدف را با فايل‌هاي خود جايگزين مي کنند مانند فايل‌هاي netstat، ls و … نمونه‌هايي از روت کيت سنتي عبارتند از: Tronxit , Linux rootkit5
 روت کيت کرنل: اين روت کيت‌ها بعد از نصب، کرنل سيستم عامل سيستم هدف را با کرنل خود جابجا مي‌کنند. نمونه‌هايي از روت کيت کرنل براي سيستم لينوکس Knrak و Adore، براي سيستم ويندوز Win-He4hook، Vanquish و …
تفاوت اساسي اين دو نوع روت کيت در اين است که در روت کيت سنتي، اگر ادمين با nmap سيستم خود را اسکن کند، پورت باز را مي‌فهمد و متوجه حضور روت کيت بر روي سيستم مي‌شود اما با روت کيت کرنل وقتي اسکن هم کند، چون کرنل سيستم عامل جدا شده، نمي‌تواند متوجه حضور روت کيت روي سيستم شود.