1. Análisis de comportamiento: Este método monitorea la actividad del sistema para un comportamiento sospechoso indicativo de la presencia de una raíz. Esto incluye llamadas de sistema inusuales, cambios en los patrones de acceso al sistema de archivos (por ejemplo, archivos ocultos a la vista o modificada sin interacción del usuario), actividad de red y carga inesperada del controlador. En lugar de buscar firmas específicas de RootKits conocidos, se centra en identificar acciones que están fuera de la norma para un sistema saludable.
2. Detección basada en la firma: Este método tradicional se basa en una base de datos de firmas RootKit conocidas (fragmentos de código, hashes de archivos, claves de registro). El software escanea los archivos del sistema y la memoria para coincidir con estas firmas. Si se encuentra una coincidencia, indica la presencia de un RootKit conocido. Si bien es efectivo contra las amenazas conocidas, es menos efectivo contra los raíces nuevos o polimórficos que aún no se han agregado a la base de datos de la firma.