1. Gedragsanalyse: Deze methode controleert de systeemactiviteit op verdacht gedrag dat wijst op de aanwezigheid van een rootkit. Dit omvat ongebruikelijke systeemoproepen, veranderingen in de toegangspatronen van het bestandssysteem (bijvoorbeeld bestanden die aan het zicht zijn onttrokken of zijn gewijzigd zonder tussenkomst van de gebruiker), netwerkactiviteit en het onverwacht laden van stuurprogramma's. In plaats van te zoeken naar specifieke handtekeningen van bekende rootkits, richt het zich op het identificeren van acties die buiten de norm vallen voor een gezond systeem.

2. Handtekeninggebaseerde detectie: Deze traditionele methode is gebaseerd op een database met bekende rootkithandtekeningen (codefragmenten, bestandshashes, registersleutels). De software scant systeembestanden en geheugen op overeenkomsten met deze handtekeningen. Als er een match wordt gevonden, duidt dit op de aanwezigheid van een bekende rootkit. Hoewel effectief tegen bekende bedreigingen, is het minder effectief tegen nieuwe of polymorfe rootkits die nog niet aan de handtekeningdatabase zijn toegevoegd.