Вы имеете в виду Режим ядра Rootkit .Когда прерывание инициируется, и выполнение продолжается в обработчике прерывания, определенном для этого прерывания.В Linux используется прерывание 80.Руткит может заменить обработчик прерываний ядра собственной функцией.
Этот метод NO LONGER WORKS .Прошло несколько лет, и был выпущен руткит LKM для Linux.На их разработку уходит много месяцев, и они могут быть исправлены за несколько дней.Единственные руткиты, которые работают в наши дни для Windows или Linux, это буткиты, такие как Stoned Bootkit .Пользовательские руткиты также работают, однако их тривиально обнаружить.Tripwrie, rootkithunter, ect ...