RootkitRevealer est un utilitaire avancé de détection des rootkits. Il fonctionne sous Windows NT 4 et supérieur et sa sortie répertorie les divergences entre le registre et l'API du système de fichiers qui peuvent indiquer la présence d'un rootkit en mode utilisateur ou en mode noyau.
RootkitRevealer détecte avec succès de nombreux rootkits persistants, notamment AFX, Vanquish et HackerDefender (note : RootkitRevealer n'est pas destiné à détecter les rootkits comme Fu qui ne tentent pas de cacher leurs fichiers ou leurs clés de registre).
Comme les rootkits persistants fonctionnent en modifiant les résultats des API de sorte qu'une vue du système utilisant les API diffère de la vue réelle en stockage, RootkitRevealer compare les résultats d'une analyse du système au niveau le plus élevé avec ceux du niveau le plus bas. Le niveau le plus élevé est l'API Windows et le niveau le plus bas est le contenu brut d'un volume de système de fichiers ou d'une ruche du Registre (un fichier ruche est le format de stockage sur disque du Registre).
Ainsi, les rootkits, qu'ils soient en mode utilisateur ou en mode noyau, qui manipulent l'API Windows ou l'API native pour supprimer leur présence dans la liste d'un répertoire, par exemple, seront considérés par RootkitRevealer comme une divergence entre les informations renvoyées par l'API Windows et celles qui sont vues dans l'analyse brute des structures du système de fichiers d'un volume FAT ou NTFS.
