Firmware a hardware
Firmware rootkit využívá zařízení nebo platformu firmware k vytvoření trvalé malware obraz v hardwaru, jako je například směrovač , síťové karty , na pevném disku , nebo systémový BIOS . Rootkit skrývá ve firmwaru, protože firmware není obvykle kontrolovány pro integritu kódu. John Heasman prokázal životaschopnost firmwaru rootkitů v obou ACPI rutiny firmware a v PCI rozšiřující karty ROM .
V říjnu 2008, zločinci manipulováno s evropskými kreditní karty čtení stroje před tím, než byly instalovány. Zařízení zachyceny a přenášeny údaje o kreditní kartě prostřednictvím mobilní telefonní sítě. V březnu roku 2009, výzkumníci Alfredo Ortega a Anibal Sacco zveřejněny podrobnosti BIOS na úrovni Windows rootkit, který byl schopen přežít výměnu disku a operační systém re-instalaci. O několik měsíců později se dozvěděli, že některé notebooky jsou prodávány s legitimním rootkit, známý jako absolutní Computrace nebo Absolutní LoJack pro notebooky , předinstalovaná v mnoha BIOS obrazů. To je anti- krádež technologie, systém, který výzkumníci ukázali, lze se obrátil k nekalým účelům.
Active Management Technology Intel , která je součástí Intel vPro , realizuje out-of-band řízení , což administrátorům vzdálenou správu , vzdálenou správu , a dálkové ovládání počítačů bez účasti hlavního procesoru nebo BIOS, i když je systém vypnutý. Vzdálená správa zahrnuje vzdálenou power-up a vypnutí zdroje, dálkové resetování, přesměrované boot, přesměrování konzoly, pre-boot přístup k nastavení systému BIOS, programovatelné filtrování pro příchozí a odchozí síťový provoz, kontrolu přítomnosti agenta, založený politika-out-of-band upozorňování, přístup do informačního systému, například informace hardwaru majetku, protokolů přetrvávající událostí, a další informace, které jsou uloženy v paměti vyhrazené (nikoliv na pevném disku), kde je k dispozici iv případě, že operační systém je dole, nebo počítač je vypnutý. Některé z těchto funkcí vyžaduje nejhlubší úrovně rootkitu, druhý neodnímatelnou špionážní počítač postavená na hlavní počítač. Sandy Bridge a budoucí čipové sady mají "schopnost vzdáleně zabít a obnovit ztracené nebo odcizené počítače přes 3G". Hardwarové rootkity zabudované do čipsetu může pomoci obnovit odcizené počítače, odstranit data, nebo vyvolat jejich zbytečné, ale i přítomné soukromí a bezpečnostní obavy nezjistitelné špionáže a přesměrování podle řídících nebo hackery, kteří by získají kontrolu.