Como se indicó anteriormente, los kits de raíz funcionan de manera similar en un host virtual como en un host normal EXCEPTO que muchos autores de malware / virus / rootkit han desarrollado mecanismos para detectar si están o no en un máquina virtual, por lo que pueden ser programados / programados para que se comporten de manera diferente a como lo harían en una máquina normal.
Esto es muy evidente cuando el malware de ingeniería inversa, donde el malware se comportará de manera diferente si detecta que está virtualizado. Algunos de los comportamientos pueden ser para dejar de hacer sus rutinas / funciones normales, trate de eliminarse a sí mismo. Esto es similar a la verificación de malware para ver si un host está ejecutando herramientas de ingeniería inversa, por ejemplo, IDA Pro, OllyDBG, Immunity Debugger, Redline, etc.
VMWare tiene un " antirootkit " para ciertas cosas, ya que vmware agent monitoreará cosas como cambios en el SSDT e IDT (tabla de descriptores de servicio del sistema e interrupciones de tablas de descriptores). Sin embargo, al final del día, el comportamiento es MAYORMENTE el mismo.