Oppskriften er gjengitt i siste utgave av Phrack Magazine som ble offentliggjort torsdag 9. september. (Følg pekeren til Phrack Magazine, velg "Archive" og så nummer 55.) Artikkelen heter "A Real NT Rootkit" og er skrevet av Greg Hoglund.
Hoglund definerer en "rootkit" som kode eller oppskrifter som oppretter bakdører i eksisterende programmer, for å endre eller bryte programmets sikkerhetssystem. Han trekker et skille mellom ekte "rootkit" og systemer for fjerntilgang som pcAnywhere eller Microsoft - eller "amatørutgaver" av slike, det vil si Back Orifice og Netbus.
En "rootkit" er altså noe som endrer kjernen i et system, i motsetning til fjerntilgang som dreier seg om egne applikasjoner.
I artikkelen gjengir Hoglund kode for en patch på fire bytes til kjernen i Windows NT. Han hevder at patchen fjerner absolutt alle sikkerhetssperrer hos objekter innen NT-domenet.
Som den står kan patchen bare brukes til rene sabotasjeformål. Men patchen kan varieres for å oppnå mer avanserte ting, som å sniffe passord, krypteringsnøkler og så videre.
Phrack er en kjent hackergruppe som later til å ha omtrent samme innstilling som tyske Chaos Computer Club. Det betyr at de ikke går av veien for å avsløre "hemmeligheter", men søker samtidig å holde seg på riktig side av loven. Gruppen markerte seg i januar i år da den undertegnet et opprop, sammen med blant andre Chaos, L0pht og Cult of the Dead Cow, mot Legions of the Underground som 29. desember 1998 angrep nettinfrastrukturen i Irak og Kina.
Phrack har tidligere offentliggjort kode for å knekke passord i Windows NT, og for å føre "denial of service" angrep mot nettsteder.
