Hypervisor Level

Rootkity byly vytvořeny jako typ II hypervisory v akademickém jako důkazy konceptu. Využitím virtualizace hardwaru funkce, jako je například Intel VT nebo AMD-V , tento typ rootkit běží v Ring -1 a hostí cílový operační systém jako virtuální stroj , a tím umožní rootkit zachytit hardwarové volání ze strany původního operačního systému. Na rozdíl od běžných hypervisory, že oni nemají načíst před operačním systémem, ale můžete načíst do operačního systému, než podporovat ji do virtuálního stroje. hypervisoru rootkit nemusí provádět žádné úpravy na jádra cíl rozvrátit ji; Nicméně, to neznamená, že nemůže být zjištěn hostovaném operačním systému. Například, časové rozdíly mohou být detekovatelný v CPU návodu. "SubVirt" laboratoř rootkit, vyvinutý společně společností Microsoft a University of Michigan výzkumníků, je akademický příklad virtuálního počítače založené rootkit (VMBR), zatímco modrou pilulku je jiný.

V roce 2009, výzkumníci z Microsoftu a North Carolina State University prokázali hypervisor-vrstvy anti-rootkit nazvaný Hooksafe, která poskytuje obecný ochranu proti kernel-mode rootkity.