问：Rootkit和rootkit管理程序（rootkit hypervisor）可以对操作系统产生什么影响呢？
 
　　答：简而言之，rootkit的创造者想做什么，它们就可以做什么。Rootkit向攻击者提供了对安装了rootkit的电脑的根访问（root access）。这就给了攻击者作为电脑管理员工的全面的权限和许可。Rootkit可以典型地截取API（应用程序编程接口，application programming interface）呼叫，例如对Windows Explorer等文件管理器程序的请求。恶意软件编写者使用这种底层的系统操作，使他们的程序在实际上不可监测。有些甚至创建了“核心rootkit”，它可以修改目标操作系统的核心组件，进而在这么低的层面破坏操作系统，这样rootkit就很难被检测或者被完全移除。

　　rootkit hypervisor和rootkit在赋予攻击者在受影响的计算机上的控制权方面很相似。但是rootkit hypervisor更加强大、更加危险，因为hypervisor是一个虚拟化软件层，可以在操作系统和硬盘之间运行，角色相当于一台虚拟机（VM）监控器。这种情况可以允许多台操作系统同时运行同一个程序。Hypervisor技术的优势之一是它可以创建一个强大的系统。即使一个操作系统将要崩溃，另外一个还可以继续无间断的工作。AMD和Intel都在创建虚拟的机器芯片。Intel的Core Solo和Duo处理器都是例子。

　　rootkit hypervisor并不依赖于攻击核心，而是通过在虚拟机上运行原始的操作系统而进行控制。通过控制操作系统运行的全部，它就可以欺骗任何操作系统并作其中运行，这样就可以抵御客户端虚拟机的安全防御。这也就是说除了通过极端的措施，就没有可以检测到攻击的实际方法了。

　　在2006年的黑帽子大会上，有一个rootkit的演示。代码名是Blue Pill，可以使用AMD的SVM/Pacifica虚拟化技术攻击微软俄Windows Vista操作系统。这个rootkit想象欺骗操作系统在虚拟机上运行实例，允许它做为一个hyperbisor。这个rootkit然后就可以获取全面没有保护的计算机的全面控制。到现在为止，还没有发现基于虚拟化的rootkit，但是很可能会出现，特别是有组织的犯罪在复杂的恶意软件开发商的投入越来越多。虽然微软的Windows Vista1企业版可以作为虚拟机运行，还好Home Basic和Home Premium版本就不能了。微软说消费者不理解运行虚拟机的风险，我同一这种说法。