RootkitRevealer es una utilidad avanzada de detección de rootkit. Se ejecuta en Windows NT 4 y versiones posteriores y su salida enumera las discrepancias de API y registro del sistema de archivos que pueden indicar la presencia de un rootkit en modo de usuario o en modo kernel.
RootkitRevealer detecta con éxito muchos rootkits persistentes, incluidos AFX, Vanquish y HackerDefender (nota: RootkitRevealer no está diseñado para detectar rootkits como Fu que no intentan ocultar sus archivos o claves de registro).
Dado que los rootkits persistentes funcionan cambiando los resultados de la API para que una vista del sistema que usa API difiera de la vista real en el almacenamiento, RootkitRevealer compara los resultados de una exploración del sistema en el nivel más alto con el nivel más bajo. El nivel más alto es la API de Windows y el nivel más bajo es el contenido sin procesar de un volumen del sistema de archivos o una sección del Registro (un archivo de la sección es el formato de almacenamiento en disco del Registro).
Por lo tanto, RootkitRevealer verá los rootkits, ya sea en modo de usuario o en modo kernel, que manipulan la API de Windows o la API nativa para eliminar su presencia de una lista de directorios, como una discrepancia entre la información devuelta por la API de Windows y la vista en la exploración sin formato de las estructuras del sistema de archivos de un volumen FAT o NTFS.
