Rootkit可以将自己隐藏得很深，甚至可以将自己隐藏于系统内核运行，如此一来对它的检测就更加困难。由于它在内核中运行，所以它就可以调整系统中所有应用程序所使用的功能和参数。如Rootkit可以修改反病毒软件、反间谍软件、反Rootkit程序的功能。一些高级的Rootkit可以修改反rootkit或火焰检测器，使其无法阻止rootkit。这是不是意味着用户们就束手就擒了呢?非也。Rootkit与反Rootkit工具的斗争是此消彼长的关系。任何一种技术在今天可能还奏效，明天可能就会失败。

任何Rootkit的一个固有的恶意行为即是隐藏自身，或者是隐藏受害进程。隐藏进程的后果就是即使合法的系统实用程序也无法列出系统中正在执行的进程信息。隐藏进程的固有危险性是安全防御系统(这种系统的运行基于这种假设，即系统正根据所设定的规则运行)看不到插入的进程，从而就会给系统管理员这样一种假象，系统正在安全地正常运行。

任何攻击工具的发展趋势都会是将侵入进程隐藏起来。隐藏进程的危险性是很大的，因为这代表着某些恶意代码在你的系统上运行，而你却浑然不知，由此造成的后果可想而知。许多特洛伊木马、病毒、间谍软件、rootkit编写者都使用了同样的技术来隐藏其自身，并且可以让自己长时间地呆在电脑上，而普通的杀毒软件和反病毒机制由于不能对付隐藏的进程对此又无可奈何。因此，找到rootkit隐藏自己的所有方法是防御rootkit威胁的首要一步。　如果你想得到真正的安全，那么，防御隐藏进程必不可少。现在市场上能够检测到隐藏进程的工具是少之又少，而且多数还需要花“银子”，那我们靠什么?