No mundo forense computacional, é importante antes de iniciarmos uma investigação propriamente dita, recorrer a um planejamento prévio sobre o ambiente encontrado, as possibilidades e caminhos a serem percorridos para que tenhamos sucesso na empreitada.
Quando um Perito Forense é destacado para periciar um computador, ele deverá observar se o equipamento em questão que será periciado, está com o seu sistema de arquivos intacto ou modificado por algum tipo de ferramenta que “manipula” o sistema operacional de modo que as informações passadas no momento da perícia estejam comprometidas, objetivo este das ferramentas do mundo “Underground” conhecidas como “RootKits”.
Um rootkit é um conjunto de ferramentas que quando instalado no computador, pode comprometer todo o sistema operacional, alterando as permissões de acesso de arquivos de sistema, que originalmente eram somente leitura e agora passam a ter permissão de escrita.
Quando o RootKit é instalado com o objetivo de alterar os módulos que são carregados durante a iniciação do Kernel, chamamos de RootKit de Kernel, no qual ele compromete determinados módulos do núcleo do kernel, fazendo com que a máquina já esteja comprometida desde o boot do sistema operacional.
No caso de comprometimento de determinados comandos de sistemas somente, como os comandos de listagem em tela, impressão, etc, onde o conjunto de ferramentas se preocupam com os arquivos de sistemas, chamamos de RootKits de Biblioteca, normalmente no linux encontramos no arquivo libproc.
Contudo, um bom perito, deve conhecer sobre RootKit, identificar e analisar as suas atividades no computador comprometido, senão, as informações colhidas e repassadas para um laudo pericial forense, não terão validade jurídica e assim, estará fadado aos questonamentos inerentes a perícia e as informações apresentadas não fidedígnas do sistema operacional, visto que o equipamento em questão, está comprometido com o rootkit instalado.