Un detector de rootkits es un tipo de software especializado que se utiliza para encontrar la presencia de rootkits ocultos en una computadora. No todos los rootkits son malware, pero su capacidad para eludir la configuración normal de seguridad del sistema operativo y permanecer ocultos para los usuarios de computadoras hace que el rootkit sea una opción muy popular entre los creadores de malware. El detector de rootkits va más allá del alcance de los programas antivirus y antimalware típicos para encontrar estos programas ocultos que han obtenido acceso de nivel raíz a la computadora accediendo a la raíz del sistema operativo para buscar programas ocultos que podrían estar causando problema.

Los rootkits presentan un grave riesgo de seguridad para los usuarios de computadoras porque estos programas pueden ocultar su presencia y subvertir el sistema operativo sin el conocimiento del administrador de la computadora u otros usuarios. Con la capacidad del rootkit para obtener acceso de nivel raíz al sistema, los creadores de malware pueden usar rootkits para robar contraseñas y otra información confidencial de forma remota, para destruir archivos esenciales del sistema operativo o para crear un caos general en la computadora de la víctima. Con su capacidad de permanecer oculto, el rootkit a menudo se coloca en la computadora como una carga útil incluida con otro programa o archivo que el usuario de la computadora descargó. En otros casos, el rootkit puede ser colocado en la computadora por una persona que tenga intenciones maliciosas y que previamente haya obtenido acceso a la raíz del sistema operativo de la computadora, ya sea a través del contacto físico o mediante acceso remoto utilizando una vulnerabilidad del sistema.

La variedad de medios por los cuales se pueden instalar rootkits en la computadora de una víctima es la razón por la cual un detector de rootkits puede tomar muchas formas. Un detector de rootkit puede implicar el uso de algoritmos complejos para escanear en busca de cambios en los archivos o firmas del sistema operativo, patrones de comportamiento que son comunes entre malware y spyware, o el escaneo de los archivos de volcado de memoria para encontrar evidencia de instalación de malware. En algunos casos, el detector de rootkits funciona como un sistema operativo separado para asegurarse de que el detector de rootkits no se vea comprometido.

Cuando se utiliza un detector de rootkits junto con herramientas de eliminación de rootkit, es importante que uno comprenda que, aunque la mayoría de los rootkits son malware, algunos rootkits realmente tienen un propósito útil. Los rootkits se pueden usar para detectar ataques de programas maliciosos, agregar mayor potencia al software de emulación, ejecutar programas que no necesitan una interfaz de usuario o incluso proteger las computadoras portátiles del robo. Cuando un detector de rootkits encuentra rootkits, es importante que se verifique la fuente del rootkit y su uso antes de eliminarlo del sistema para asegurarse de que no se produzcan daños mayores en el sistema en el proceso.