Um detector de rootkit é um tipo especializado de software usado para encontrar a presença de rootkits ocultos em um computador. Nem todos os rootkits são malware, mas sua capacidade de ignorar as configurações normais de segurança do sistema operacional e permanecer oculto aos usuários do computador faz com que o rootkit seja uma escolha muito popular entre os criadores de malware. O detector rootkit vai além do escopo dos programas antivírus e anti-malware típicos para encontrar esses programas ocultos que obtiveram acesso no nível raiz ao computador, acessando a raiz do sistema operacional do computador e procurando programas ocultos que podem estar causando problema.

Os rootkits apresentam um sério risco à segurança dos usuários de computador, porque esses programas podem ocultar sua presença e subverter o sistema operacional sem o conhecimento do administrador do computador ou de outros usuários. Com a capacidade do rootkit de obter acesso no nível raiz ao sistema, os criadores de malware podem usar rootkits para roubar senhas e outras informações confidenciais remotamente, destruir arquivos essenciais do sistema operacional ou criar um caos geral no computador da vítima. Com a capacidade de permanecer oculto, o rootkit geralmente é colocado no computador como uma carga útil incluída em outro programa ou arquivo baixado pelo usuário do computador. Em outros casos, o rootkit pode ser colocado no computador por uma pessoa com intenção maliciosa e que já obteve acesso à raiz do sistema operacional do computador, por meio de contato físico ou acesso remoto usando uma vulnerabilidade do sistema.

A variedade de meios pelos quais os rootkits podem ser instalados no computador da vítima é o motivo pelo qual um detector de rootkit pode assumir várias formas. Um detector de rootkit pode envolver o uso de algoritmos complexos para verificar alterações nos arquivos ou assinaturas do sistema operacional, padrões de comportamento comuns entre malware e spyware ou a verificação dos arquivos de despejo de memória para encontrar evidências de instalação de malware. Em alguns casos, o detector rootkit opera como um sistema operacional separado para garantir que o detector rootkit não seja comprometido.

Ao usar um detector de rootkit em conjunto com ferramentas de remoção de rootkit, é importante entender que, embora a maioria dos rootkits sejam malwares, alguns rootkits realmente servem a um propósito útil. Os rootkits podem ser usados ​​para detectar ataques de programas maliciosos, adicionar maior poder ao software de emulação, executar programas que não precisam de uma interface de usuário ou até mesmo proteger laptops contra roubo. Quando rootkits são encontrados por um detector de rootkit, é importante que a fonte do rootkit e seu uso sejam verificados antes de excluí-lo do sistema para garantir que não haja maiores danos ao sistema no processo.