Un détecteur de rootkit est un type spécialisé de logiciel utilisé pour trouver la présence de rootkits cachés sur un ordinateur. Pas tous les rootkits sont des malwares, mais leur capacité à contourner les paramètres normaux de fonctionnement du système de sécurité et de rester caché aux utilisateurs d'ordinateurs rend le rootkit un choix très populaire parmi les créateurs de programmes malveillants. Le détecteur de rootkit va au-delà du champ d'application typiques de programmes anti-virus et anti-malware pour trouver ces programmes cachés qui ont acquis de niveau racine accès à l'ordinateur en accédant à la racine du système d'exploitation d'ordinateur à la recherche de programmes cachés qui pourraient être à l'origine ennuis.
Les rootkits présenter un risque grave pour la sécurité des utilisateurs d'ordinateurs parce que ces programmes sont capables de dissimuler leur présence et de subvertir le système d'exploitation à l'insu de l'administrateur de l'ordinateur ou d'autres utilisateurs. Grâce à la capacité du rootkit pour gagner de niveau racine accès au système, les créateurs de malwares peuvent utiliser des rootkits pour voler les mots de passe et autres informations sensibles à distance, de détruire les fichiers essentiels du système d'exploitation ou de créer le chaos général sur l'ordinateur de la victime. Grâce à sa capacité de rester caché, le rootkit est souvent placé sur l'ordinateur comme une charge inclus avec un autre programme ou fichier que l'utilisateur de l'ordinateur téléchargé. Dans d'autres cas, le rootkit peut être placé sur l'ordinateur par une personne qui a de mauvaises intentions et qui a déjà obtenu l'accès à la racine du système d'exploitation, soit par contact physique ou par accès à distance à l'aide d'une vulnérabilité du système.
La variété des moyens par lesquels les rootkits peuvent être installés sur l'ordinateur de la victime sont pourquoi un détecteur de rootkit peut prendre plusieurs formes. Un détecteur de rootkit peut impliquer l'utilisation d'algorithmes complexes pour détecter les changements dans les fichiers du système d'exploitation ou des signatures, des comportements qui sont communs parmi les logiciels malveillants et les logiciels espions, ou le balayage des fichiers de vidage mémoire pour trouver des preuves de l'installation des logiciels malveillants. Dans certains cas, le détecteur de rootkit fonctionne comme un système d'exploitation distinct pour s'assurer que le détecteur de rootkit n'est pas compromis.
Lors de l'utilisation d'un détecteur de rootkit en conjonction avec les outils de suppression des rootkits, il est important que de comprendre que, bien que la majorité des rootkits sont des logiciels malveillants, certains rootkits en fait servir un but utile. Les rootkits peuvent être utilisées pour détecter les attaques de programmes malveillants, ajouter plus de puissance à un logiciel d'émulation, d'exécuter des programmes qui n'ont pas besoin d'une interface utilisateur ou encore protéger les ordinateurs portables contre le vol. Lorsque les rootkits sont trouvés par un détecteur de rootkit, il est important que la source du rootkit et son utilisation sont vérifiées avant de le supprimer du système pour s'assurer que des dommages plus importants ne se fait pas au système dans le processus.