Difference-based
Další metodou, která může detekovat rootkity porovnává "důvěryhodné" surových dat s "poskvrněnýma" obsah vrácené pomocí API . Například binární přítomné na disku, může být v porovnání s jejich kopiemi v operační paměti (v některých operačních systémů, v paměti obrazu by měla být stejná jako obraz na disku), nebo výsledky vrácené z systému souborů nebo registru Windows API can porovnat se surových struktur o podkladových fyzických discích -however, v případě, že v prvním případě některá platná rozdíly mohou být zavedeny operačního systému mechanismy, jako je paměťové přemístění nebo vypodložení . Rootkit může detekovat přítomnost takového rozdílu na bázi skeneru nebo virtuálního stroje (která se běžně používá k provedení soudní analýzu), a upravit jeho chování tak, že žádné rozdíly mohou být detekovány. Detekce Rozdíl základě byl používán Russinovich 's RootkitRevealer nástroj najít rootkit Sony DRM.