RootkitRevealer është një rootkit zbulimin e shërbimeve të avancuara. Ajo shkon në Windows NT 4 dhe prodhimin e saj më të larta dhe listat e Regjistrit dhe fotografi sistemit API mospërputhjet që mund të tregojë praninë e një user-mode apo kernel-mode rootkit. RootkitRevealer sukses detects shumë këmbëngulës rootkits përfshirë AFX, mposht dhe HackerDefender (vini re: RootkitRevealer nuk është qëllim për të zbuluar si rootkits Fu që nuk përpjekje për të fshehur dosjet e tyre ose regjistrin çelësat). Që nga puna këmbëngulëse rootkits API duke ndryshuar në mënyrë që rezultatet e parë duke përdorur një sistem APIs ndryshon nga aktuale në pikëpamje magazinimit, RootkitRevealer krahason rezultatet e një sistemi scan në nivelin më të lartë me atë në nivelin më të ulët. Niveli më i lartë është e Windows API dhe nivelin më të ulët është e pagatuar përmbajtjen e një sistemi fotografi volumin apo koshere Regjistrit (skedë është një zgjua Regjistrin e mbi-disk storage format). Kështu, rootkits, nëse përdoruesi apo kernel mode mode, se manipuluar API Windows API amtare ose për të hequr nga prania e tyre një listë directory, për shembull, do të shihet nga RootkitRevealer si një mospërputhje në mes të informacionit u kthye nga Windows API dhe shihet se në kërkim të një pagatuar FAT ose NTFS file volumin e strukturave të sistemit.