Rootkit -ilmaisin on erikoistunut ohjelmisto, jota käytetään piilotettujen juuripakettien löytämiseen tietokoneesta. Kaikki rootkitit eivät ole haittaohjelmia, mutta niiden kyky ohittaa normaalit käyttöjärjestelmän suojausasetukset ja pysyä piilossa tietokoneen käyttäjiltä tekee rootkitista erittäin suositun haittaohjelmien luojat. Rootkit-ilmaisin ylittää tyypillisten virustentorjunta- ja haittaohjelmatorjuntaohjelmien laajuuden löytääkseen nämä piilotetut ohjelmat, jotka ovat saaneet pääkäyttäjän pääsyn tietokoneeseen siirtymällä tietokoneen käyttöjärjestelmän juuriin etsimään piilotettuja ohjelmia, jotka saattavat aiheuttaa ongelmia.
Juurikitit aiheuttavat vakavan tietoturvariskin tietokoneen käyttäjille, koska nämä ohjelmat voivat piilottaa läsnäolonsa ja horjuttaa käyttöjärjestelmän ilman tietokoneen järjestelmänvalvojan tai muiden käyttäjien tietämättä. Koska rootkit pystyy saamaan järjestelmän juuritason käyttöoikeuden, haittaohjelmien luojat voivat käyttää rootkit-ohjelmia varastaakseen salasanoja ja muita arkaluonteisia tietoja etänä, tuhoamaan olennaiset käyttöjärjestelmätiedostot tai luomaan yleistä sekasortoa uhrin tietokoneelle. Koska rootkit pystyy pysymään piilossa, se sijoitetaan usein tietokoneelle hyötykuormana, joka sisältyy toiseen ohjelmaan tai tiedostoon, jonka tietokoneen käyttäjä on ladannut. Muissa tapauksissa rootkit voidaan sijoittaa tietokoneeseen henkilöllä, jolla on haitallinen tarkoitus ja joka on aiemmin saanut käyttöoikeuden tietokoneen käyttöjärjestelmän juuriin joko fyysisen kontaktin tai etäkäytön avulla järjestelmän haavoittuvuuden avulla.
Useat keinot, joilla rootkit voidaan asentaa uhrin tietokoneelle, ovat miksi rootkit -ilmaisin voi olla monessa muodossa. Rootkit -ilmaisin voi sisältää monimutkaisten algoritmien käytön käyttöjärjestelmän tiedostojen tai allekirjoitusten muutosten, haittaohjelmien ja vakoiluohjelmien yleisten toimintamallien tarkistamiseen tai muistin tyhjennystiedostojen tarkistamisen haittaohjelmien asennuksen todisteiden löytämiseksi. Joissakin tapauksissa rootkit -ilmaisin toimii erillisenä käyttöjärjestelmänä varmistaakseen, että rootkit -ilmaisin ei vaarannu.
Kun käytät rootkit -ilmaisinta yhdessä rootkit -poistotyökalujen kanssa, on tärkeää ymmärtää, että vaikka suurin osa rootkit -ohjelmistoista on haittaohjelmia, jotkut rootkit -ohjelmat ovat todella hyödyllisiä. Pääsarjoja voidaan käyttää havaitsemaan haittaohjelmien hyökkäykset, lisäämään emulointiohjelmiston tehoa, suorittamaan ohjelmia, jotka eivät tarvitse käyttöliittymää, tai edes suojaamaan kannettavia tietokoneita varkauksilta. Kun rootkit -tunnistin löytää rootkitit, on tärkeää, että rootkitin lähde ja sen käyttö varmistetaan ennen sen poistamista järjestelmästä, jotta järjestelmälle ei aiheudu suurempia vahinkoja prosessin aikana.