Ker ti večinoma skrivajo svoje datoteke, ključe registra in procese, ki vseeno fizično na sistemu obstajajo, deluje RootkitRevealer tako, da primerja rezultat pregledovanja na najvišjem nivoju (z uporabniškimi programi) in na najnižjem nivoju (surovo vsebino datotečnega sistema in osnovno datoteko, ki hrani vsebino registra ‐ Registry hive). Razlika med njima pomeni, da imamo opraviti z rootkitom. Povsem zanesljive detekcije pa se žal, pri sedanji arhitekturi operacijskih sistemov, ne moremo nadejati.