Specjaliści z uniwersytetów Carnegie Mellon i Stanforda poinformowali, że rootkity, które wykorzystują techniki wirtualizacji, są łatwe do wykrycia. Naukowcy, we współpracy z firmami VMware i XenSource opublikowali dokument pt:. "Kompatybilność to nie transparentność: mity i prawda na temat monitorów maszyn wirtualnych (VMM)". Autorzy twierdzą w nim, że: "niezależnie od tego jak małe rozmiary mają wrogie VMM, muszą wykorzystywać zasoby fizyczne maszyny, zużywać cykle procesora i chronić się. Nie są więc mniej podatne na wykrycie, niż inne VMM".

Szkodliwe oprogramowanie zawsze powoduje pewne nieprawidłowości w działaniu systemu, a te można wykryć badając logiczne niezgodności w interfejsach maszyny fizycznej i wirtualnej. "Większość obecnych metod wykrywa nieprawidłowości w działaniu wirtualnego CPU, które są niezgodne z założeniami architektury x86" - czytamy w opracowaniu. Istnieją też różnice w konfiguracjach maszyn wirtualnych i fizycznych.

Wspomniany dokument to odpowiedź na słowa Joanny Rutkowskiej, która stwierdziła, że możliwe jest stworzenie niewykrywalnego rootkita.