Wykrywacz rootkitów to wyspecjalizowany rodzaj oprogramowania używany do wykrywania obecności ukrytych rootkitów na komputerze. Nie wszystkie rootkity są złośliwym oprogramowaniem, ale ich zdolność do omijania normalnych ustawień zabezpieczeń systemu operacyjnego i pozostawania w ukryciu przed użytkownikami komputerów sprawia, że rootkit jest bardzo popularnym wyborem wśród twórców złośliwego oprogramowania. Wykrywacz rootkitów wykracza poza zakres typowych programów antywirusowych i chroniących przed złośliwym oprogramowaniem, aby znaleźć te ukryte programy, które uzyskały dostęp do komputera na poziomie administratora, uzyskując dostęp do katalogu głównego systemu operacyjnego komputera w celu wyszukania ukrytych programów, które mogą powodować kłopoty.
Rootkity stanowią poważne zagrożenie dla bezpieczeństwa użytkowników komputerów, ponieważ programy te są w stanie ukryć swoją obecność i podważyć system operacyjny bez wiedzy administratora komputera lub innych użytkowników. Dzięki zdolności rootkita do uzyskiwania dostępu do systemu na poziomie root, twórcy złośliwego oprogramowania mogą używać rootkitów do zdalnej kradzieży haseł i innych poufnych informacji, niszczenia podstawowych plików systemu operacyjnego lub tworzenia ogólnego chaosu na komputerze ofiary. Dzięki swojej zdolności do pozostawania w ukryciu rootkit jest często umieszczany na komputerze jako ładunek dołączony do innego programu lub pliku, który pobrał użytkownik komputera. W innych przypadkach rootkit może zostać umieszczony na komputerze przez osobę o złych zamiarach, która wcześniej uzyskała dostęp do katalogu głównego systemu operacyjnego komputera poprzez kontakt fizyczny lub zdalny dostęp z wykorzystaniem luki w zabezpieczeniach systemu.
Różnorodność sposobów instalowania rootkitów na komputerze ofiary powoduje, że wykrywacz rootkitów może przybierać różne formy. Wykrywacz rootkitów może wymagać użycia złożonych algorytmów do skanowania w poszukiwaniu zmian w plikach lub sygnaturach systemu operacyjnego, wzorców zachowań typowych dla złośliwego oprogramowania i oprogramowania szpiegującego lub skanowania plików zrzutu pamięci w celu znalezienia dowodów na instalację złośliwego oprogramowania. W niektórych przypadkach detektor rootkitów działa jako oddzielny system operacyjny, aby zapewnić, że detektor rootkitów nie zostanie naruszony.
Podczas korzystania z detektora rootkitów w połączeniu z narzędziami do usuwania rootkitów ważne jest, aby zrozumieć, że chociaż większość rootkitów to złośliwe oprogramowanie, niektóre z nich w rzeczywistości służą użytecznemu celowi. Rootkity mogą być wykorzystywane do wykrywania ataków złośliwych programów, zwiększania mocy oprogramowania emulującego, uruchamiania programów, które nie wymagają interfejsu użytkownika, a nawet ochrony laptopów przed kradzieżą. Gdy rootkity zostaną znalezione przez detektor rootkitów, ważne jest, aby przed usunięciem rootkita zweryfikować źródło rootkita i jego użycie, aby upewnić się, że w tym procesie nie zostaną wyrządzone większe szkody systemowi.