随着信息网络技术的高速发展,人们越来越离不开计算机和网络的帮助,人们通过计算机储存很多重要信息,由此而来的计算机网络渗透、敏感信息窃取事件时有发生。Rootkit是一项操作系统底层技术,能够持续获得系统特权,同时通过破坏传统操作系统的功能或其他应用来隐藏它的存在。Rootkit技术最先被发明应用于UNIX系统中,随后逐步发展到其他操作系统平台上。目前针对Windows平台下的Rootkit技术得到了广泛的关注和研究。作为信息安全的攻击方与防御方,安全软件与恶意软件都在使用不同层次的Rootkit技术进行信息的窃取与防护。Rootkit技术也是一项可以被黑客利用来进行攻击的技术,然而只有对于这类攻击技术有着很好的了解,才能进一步研究如何对这种技术进行检测与防御。根据对操作系统入侵的层次,可以分为用户级Rootkit和内核级Rootkit。比较而言,用户级Rootkit工作在操作系统的应用层,具有轻便、通用性强的优点;而内核级Rootkit直接攻击操作系统的内核,危害更大,功能更强大,更难以检测,不过其工作需要环0权限,且兼容性较差。本文首先叙述了Rootkit技术的相关原理,包括用户级与内核级的原理,在此基础上,提出了Rootkit攻击的核心技术,包括挂钩SSDT表、挂钩IAT表、inline hook、过滤驱动技术等技术,对每种技术的原理进行详细阐述并且给出了实现过程。在接着的章节中,研究了Windows Rootkit检测的两大类方法,基于行为与基于交叉视图的检测方法,对这些方法进行了详细地探讨并给出了实现,同时给出了对于各检测技术的评价。最后,通过实验的方法实现了对于SSDT表挂钩的应用。另外,论文还给出了能有效规避主动防御软件的几种技术手段。