O software anti-Rootkit usa vários métodos para detectar rootkits, mas dois são:

1. Análise comportamental: Este método monitora a atividade do sistema para comportamento suspeito indicativo da presença de um rootkit. Isso inclui chamadas incomuns do sistema, alterações nos padrões de acesso ao sistema de arquivos (por exemplo, arquivos ocultos da exibição ou modificados sem interação do usuário), atividade de rede e carregamento inesperado do driver. Em vez de procurar assinaturas específicas de rootkits conhecidos, ele se concentra na identificação de ações que estão fora da norma para um sistema saudável.

2. Detecção baseada em assinatura: Esse método tradicional depende de um banco de dados de assinaturas de rootkit conhecidas (trechos de código, hashes de arquivo, chaves de registro). O software verifica arquivos e memória do sistema para correspondências com essas assinaturas. Se uma correspondência for encontrada, indica a presença de um rootkit conhecido. Embora eficazes contra ameaças conhecidas, é menos eficaz contra raiz novos ou polimórficos que ainda não foram adicionados ao banco de dados de assinatura.