Signature-based

Antivirové produkty zřídka zachytit všechny viry ve veřejných zkouškách (v závislosti na tom, co se používá a do jaké míry), i když výrobci bezpečnostního softwaru začlenit detekci rootkitů do svých produktů. Pokud by pokus rootkit skrýt během antivirové kontroly, stealth detektor všimnout; pokud rootkit pokusí dočasně uvolnit se od systému, detekce podpis (nebo "otisky prstů"), může ještě najít. Tento kombinovaný přístup nutí útočníky realizovat mechanismy protiútoku, nebo "retro" rutiny, že pokus o ukončení antivirové programy. Metody detekce na základě signatur může být účinný proti dobře zveřejněných rootkity, ale méně tak proti speciálně vytvořený, zakázkový-kořenové rootkitů.