Behavioral- based
Behaviorální přístup založený na detekci rootkitů se snaží odvodit přítomnost rootkitu tím, že hledá rootkitu-jako chování. Například tím, že profilování systému, rozdíly v časování a frekvenci API volání, nebo v celkové využití procesoru lze připsat rootkit. Metoda je komplexní a je omezován vysokým výskytem falešných poplachů . Vadné rootkity mohou někdy představit velmi zřetelné změny v systému: Alureon . rootkit havaroval systémy Windows po aktualizaci zabezpečení vystavena konstrukční chybu ve svém kódu.
Záznamy z analyzátoru paketů , firewall , nebo prevence narušení systému může představovat důkaz o chování rootkitu v síťovém prostředí.