a) Os rootkits atuam no núcleo do sistema operacional. Seu foco é alterar módulos e funções internas. Alterar utilitários e bliotecas está mais relacionado aos rootkits que atuam em modo usuário.
b) Rootkits em modo usuário, são capazes de atuar no espaço de endereçamento do usuário, modificando aplicações e bibliotecas de usuários. Exemplo: técnicas como injeção de DLL no Windows.
c) Rootkits em modo de usuário atuam em níveis mais
altos do sistema operacional, podendo ser inspecionados por softwares antimalwares.
d) Uma das formas de detecção é a de resumos criptográficos. Pode-se utilizar um resumo criptográfico de cada arquivo no sistema operacional e compará-lo a uma lista quando o sistema foi instalado e armazenada fora dele.
e) Exatamente porque atuam no núcleo do sistema operacional,não ficam sujeitos as proteções de acesso ao núcleo de camadas superiores. Portanto são capazes de substituir módulos do núcleo por outros modificados.
Fonte: https://en.wikipedia.org/wiki/Rootkit