En rootkit-detektor är en specialiserad typ av programvara som används för att hitta förekomsten av dolda rootkits på en dator. Alla rootkits är inte skadliga program, men deras förmåga att kringgå normala säkerhetsinställningar för operativsystemet och förbli dolda för datoranvändare gör rootkit till ett mycket populärt val bland skaparna av skadlig programvara. Rootkit-detektorn går utöver räckvidden för typiska antivirus- och anti-malware-program för att hitta dessa dolda program som har fått åtkomst till datorn på rotnivå genom att komma åt roten till datorns operativsystem för att söka efter dolda program som kan orsaka problem.
Rootkits utgör en allvarlig säkerhetsrisk för datoranvändare eftersom dessa program kan dölja sin närvaro och undergräva operativsystemet utan datoradministratörens eller andra användares vetskap. Med rootkits förmåga att få åtkomst till systemet på rotnivå, kan skapare av skadlig programvara använda rootkits för att stjäla lösenord och annan känslig information på distans, för att förstöra viktiga operativsystemfiler eller för att skapa allmän kaos på offrets dator. Med sin förmåga att förbli dold placeras rootkitet ofta på datorn som en nyttolast som ingår i ett annat program eller fil som datoranvändaren laddade ner. I andra fall kan rootkitet placeras på datorn av en person som har uppsåt och som tidigare har fått tillgång till roten av datorns operativsystem, antingen genom fysisk kontakt eller genom fjärråtkomst med hjälp av en systemsårbarhet.
Mångfalden av sätt med vilka rootkits kan installeras på ett offers dator är anledningen till att en rootkit-detektor kan ta många former. En rootkit-detektor kan involvera användning av komplexa algoritmer för att söka efter ändringar i operativsystemfiler eller signaturer, beteendemönster som är vanliga bland skadlig programvara och spionprogram, eller genomsökning av minnesdumpfilerna för att hitta bevis på installation av skadlig programvara. I vissa fall fungerar rootkitdetektorn som ett separat operativsystem för att säkerställa att rootkitdetektorn inte äventyras.
När du använder en rootkit-detektor i kombination med rootkit-borttagningsverktyg är det viktigt för en att förstå att även om majoriteten av rootkits är skadlig programvara, har vissa rootkits faktiskt ett användbart syfte. Rootkits kan användas för att upptäcka attacker från skadliga program, lägga till större kraft till emuleringsprogram, köra program som inte behöver ett användargränssnitt eller till och med skydda bärbara datorer från stöld. När rootkits hittas av en rootkitdetektor är det viktigt att källan till rootkit och dess användning verifieras innan det tas bort från systemet för att säkerställa att större skada inte görs på systemet under processen.