Kernel mode rootkit được chạy với các đặc quyền cao nhất của hệ điều hành (Ring 0), thiết kế để thay đổi chức năng của hệ điều hành. Loại rootkit này thường thêm code riêng của nó - và, đôi khi là cả cấu trúc dữ liệu - vào các phần của kernel. Nhiều kernel mode rootkit khai thác thực tế là các hệ điều hành cho phép driver thiết bị hoặc những mô-đun có thể load thực thi với cùng mức đặc quyền hệ thống như kernel, vì vậy các rootkit được đóng gói dưới dạng driver hoặc mô-đun để tránh bị phần mềm diệt virus phát hiện.
Loại rootkit này có quyền truy cập bảo mật không hạn chế, nhưng khó viết hơn. Sự phức tạp làm cho các lỗi phổ biến và bất kỳ lỗi nào trong mã hoạt động ở cấp nhân có thể ảnh hưởng nghiêm trọng đến sự ổn định của hệ thống, dẫn đến việc phát hiện ra rootkit. Kernel rootkit yêu cầu kẻ tấn công phải có được quyền root hoặc quyền quản trị để cài đặt rootkit. Thật không may, việc khai thác cấp quản trị từ xa của Microsoft Windows không phải là chưa từng thấy. Không có gì đáng ngạc nhiên khi nhiều bộ rootkit nhân được phát triển cho Windows.
Một trong những kernel rootkit đầu tiên được biết đến rộng rãi được phát triển cho Windows NT 4.0 và được phát hành trên tạp chí Phrack vào năm 1999 bởi Greg Hoglund. Các rootkit nhân có thể đặc biệt khó phát hiện và loại bỏ vì chúng hoạt động ở cấp độ bảo mật giống như chính hệ điều hành, và do đó có thể chặn hoặc phá vỡ các hoạt động của hệ điều hành đáng tin cậy nhất. Bất kỳ phần mềm nào, chẳng hạn như phần mềm chống vi-rút, chạy trên hệ thống bị xâm nhập đều dễ bị tổn thương như nhau. Trong tình huống này, không có phần nào của hệ thống có thể được tin cậy.