Zeppoo ermöglicht, Rootkits auf der i386-Architektur unter Linux zu entdecken, indem es /dev/kmem und /dev/mem benutzt. Es kann auch versteckte Prozesse, Module, Systemaufrufe, einige korrupte Symbole und versteckte Verbindungen aufzeigen. Anti-Rootkits, die diese Methoden nicht benutzen, können leicht getäuscht werden. (non)