Un detector de rootkit este un tip specializat de software folosit pentru a găsi prezența rootkit-urilor ascunse pe un computer. Nu toate rootkit-urile sunt malware, dar capacitatea lor de a ocoli setările normale de securitate ale sistemului de operare și de a rămâne ascunse utilizatorilor de computere face ca rootkit-ul să fie o alegere foarte populară printre creatorii de malware. Detectorul de rootkit depășește domeniul de aplicare al programelor antivirus și anti-malware tipice pentru a găsi aceste programe ascunse care au obținut acces la nivel de rădăcină la computer, accesând rădăcina sistemului de operare al computerului pentru a căuta programe ascunse care ar putea cauza necazuri.
Rootkit-urile prezintă un risc serios de securitate pentru utilizatorii de computer, deoarece aceste programe sunt capabile să-și ascundă prezența și să submineze sistemul de operare fără știrea administratorului computerului sau a altor utilizatori. Cu capacitatea rootkit-ului de a obține acces la nivel de rădăcină la sistem, creatorii de malware pot folosi rootkit-uri pentru a fura parole și alte informații sensibile de la distanță, pentru a distruge fișierele esențiale ale sistemului de operare sau pentru a crea haos general pe computerul victimei. Cu capacitatea sa de a rămâne ascuns, rootkit-ul este adesea plasat pe computer ca sarcină utilă inclusă cu un alt program sau fișier pe care utilizatorul de computer l-a descărcat. În alte cazuri, rootkit-ul poate fi plasat pe computer de către o persoană care are intenții rău intenționate și care a obținut anterior acces la rădăcina sistemului de operare al computerului, fie prin contact fizic, fie prin acces la distanță folosind o vulnerabilitate a sistemului.
Varietatea mijloacelor prin care rootkit-urile pot fi instalate pe computerul unei victime este motivul pentru care un detector de rootkit poate lua mai multe forme. Un detector de rootkit poate implica utilizarea unor algoritmi complecși pentru a scana modificări ale fișierelor sau semnăturilor sistemului de operare, modele de comportament care sunt comune printre programele malware și spyware sau scanarea fișierelor de descărcare a memoriei pentru a găsi dovezi ale instalării programelor malware. În unele cazuri, detectorul de rootkit funcționează ca un sistem de operare separat pentru a se asigura că detectorul de rootkit nu este compromis.
Când utilizați un detector de rootkit împreună cu instrumentele de eliminare a rootkit-urilor, este important să înțelegeți că, deși majoritatea rootkit-urilor sunt malware, unele rootkit-uri servesc de fapt un scop util. Rootkit-urile pot fi folosite pentru a detecta atacurile de către programe rău intenționate, pentru a adăuga putere mai mare software-ului de emulare, pentru a rula programe care nu au nevoie de o interfață cu utilizatorul sau chiar pentru a proteja laptopurile de furt. Când rootkit-urile sunt găsite de un detector de rootkit, este important ca sursa rootkit-ului și utilizarea acestuia să fie verificate înainte de a-l șterge din sistem, pentru a vă asigura că sistemul nu este deteriorat mai mult în timpul procesului.