Một máy dò rootkit là một loại phần mềm chuyên dụng được sử dụng để tìm sự hiện diện của rootkits ẩn trên máy tính.Không phải tất cả các rootkit đều là phần mềm độc hại, nhưng khả năng bỏ qua các cài đặt bảo mật hệ điều hành thông thường và vẫn bị ẩn khỏi người dùng máy tính khiến RootKit trở thành một lựa chọn rất phổ biến trong số những người tạo ra phần mềm độc hại.Máy dò rootkit vượt ra ngoài phạm vi của các chương trình chống vi-rút và chống phần mềm điển hình để tìm các chương trình ẩn này đã có quyền truy cập cấp độ gốc vào máy tính bằng cách truy cập vào root của hệ điều hành máy tính để tìm kiếm các chương trình ẩn có thể gây raRắc rối. Rootkits đưa ra rủi ro bảo mật nghiêm trọng cho người dùng máy tính vì các chương trình này có thể che giấu sự hiện diện của họ và lật đổ hệ điều hành mà không có kiến thức của quản trị viên máy tính hoặc người dùng khác.Với khả năng Rootkits để có được quyền truy cập cấp độ root vào hệ thống, người tạo phần mềm độc hại có thể sử dụng rootkits để đánh cắp mật khẩu và thông tin nhạy cảm khác từ xa, để phá hủy các tệp hệ điều hành thiết yếu hoặc để tạo chung tình trạng hỗn loạn trên máy tính nạn nhân.Với khả năng bị ẩn, rootkit thường được đặt trên máy tính dưới dạng tải trọng đi kèm với một chương trình hoặc tệp khác mà người dùng máy tính đã tải xuống.Trong các trường hợp khác, rootkit có thể được đặt trên máy tính bởi một cá nhân có ý định độc hại và trước đây đã có quyền truy cập vào gốc của hệ điều hành máy tính, thông qua tiếp xúc vật lý hoặc thông qua truy cập từ xa bằng cách sử dụng lỗ hổng hệ thống.Nhiều phương tiện mà rootkits có thể được cài đặt trên máy tính nạn nhân là lý do tại sao máy dò rootkit có thể có nhiều hình thức.Trình phát hiện rootkit có thể liên quan đến việc sử dụng các thuật toán phức tạp để quét các thay đổi trong các tệp hệ điều hành hoặc chữ ký, các mẫu hành vi phổ biến giữa phần mềm độc hại và phần mềm gián điệp hoặc quét các tệp kết xuất bộ nhớ để tìm bằng chứng cài đặt phần mềm độc hại.Trong một số trường hợp, máy dò rootkit hoạt động như một hệ điều hành riêng biệt để đảm bảo rằng máy dò rootkit không bị xâm phạm. Khi sử dụng máy dò rootkit kết hợp với các công cụ loại bỏ rootkit, điều quan trọng là người ta phải hiểu rằng, mặc dù phần lớncủa rootkit là phần mềm độc hại, một số rootkit thực sự phục vụ một mục đích hữu ích.Rootkits có thể được sử dụng để phát hiện các cuộc tấn công bằng các chương trình độc hại, thêm sức mạnh lớn hơn vào phần mềm mô phỏng, chạy các chương trình không cần giao diện người dùng hoặc thậm chí bảo vệ máy tính xách tay khỏi trộm cắp.Khi rootkits được tìm thấy bởi một máy dò rootkit, điều quan trọng là nguồn gốc của rootkit và việc sử dụng của nó được xác minh trước khi xóa nó khỏi hệ thống để đảm bảo rằng thiệt hại lớn hơn đối với hệ thống trong quá trình.