RootkitRevealer è un'utilità di rilevamento rootkit avanzata. Funziona su Windows NT 4 e superiori e il suo output elenca le discrepanze delle API del registro e del file system che possono indicare la presenza di un rootkit in modalità utente o kernel-mode.
RootkitRevealer rileva con successo molti rootkit persistenti tra cui AFX, Vanquish e HackerDefender (nota: RootkitRevealer non è destinato a rilevare rootkit come Fu che non tentano di nascondere i loro file o le chiavi di registro).
Poiché i rootkit persistenti funzionano modificando i risultati delle API in modo che una vista di sistema che utilizza le API differisca dalla vista effettiva in memoria, RootkitRevealer confronta i risultati di una scansione di sistema al livello più alto con quelli al livello più basso. Il livello più alto è l'API di Windows e il livello più basso è il contenuto grezzo di un volume del file system o dell'alveare del registro (un file alveare è il formato di archiviazione su disco del registro).
Così, i rootkit, sia in modalità utente che in modalità kernel, che manipolano le API di Windows o le API native per rimuovere la loro presenza da un elenco di directory, per esempio, saranno visti da RootkitRevealer come una discrepanza tra le informazioni restituite dalle API di Windows e quelle viste nella scansione grezza delle strutture del file system di un volume FAT o NTFS.