Программа, предназначенная для поиска руткитов и иных подозрительных объектов в системе. Включает в себя несколько модулей:

- chkrootkit - сценарий проверки системы;

- ifpromisc - поиск интерфейсов, работающих в режиме захвата пакетов;

- chklastlog - обнаружение фактов удаления записей из журнального файла lastlog;

- chkwtmp - обнаружение фактов удаления записей из журнального файла wtmp;

- chkproc - поиск следов троянских программ LKM;

- strings - программа для быстрого поиска и замены текстовых строк;

Модули check_wtmpx и chklastlog пытаются обнаружить факты удаления записей из системных журналов wtmp и lastlog, но полное обнаружение всех изменений этих файлов не гарантируется. Модуль chkproc проверяет файлы /proc для обнаружения скрытых от команд ps и readdir системных вызовов, которые могут быть связаны с троянскими модулями LKM.