在信息安全领域,Rootkit技术扮演着相当重要的角色。在常见的木马病毒等手段对目标机器的攻击中,常常采用Rootkit技术隐藏自身的文件、进程以及网络链接等信息来到达长期潜伏于目标系统中的目的,以此来对抗目标主机入侵检测系统的检测,这将会对算机用户会产生巨大的威胁。如何更好的防止此类针对目标主机的入侵行为,则有必要对Rootkit入侵与防御的关键技术展开深入的研究,达到以攻促防的目的。本文主要研究的是Rootkit的检测与反检测技术。首先介绍了 Rootkit技术的特点、发展历程以及涉及到的相关操作系统原理。然后分析了用户级的Rootkit与内核级的Rootkit,在此基础之上分别对于不同的隐藏技术方案进行了功能上的实现。基于此提出了一种新型的针对SSDT表中系统服务函数攻击的方法;研究Windows系统的内存管理机制,在虚拟地址空间映射到物理地址空间的过程中,清除地址转换机构中待隐藏的代码页面的相关信息,再通过劫持中断服务函数的方式隐藏虚拟地址空间中的代码页面。然后选择了系统中容易受到攻击的表进行了相关的检测性的研究,通过分析IAT表中的函数地址是否处于导出函数的地址范围当中判断其是否被修改;通过基于模块范围的对比方法及基于导出函数的对比方法分析了内核模块的完整性。最后,对Rootkit的隐蔽性功能进行了实现,具体来说包含以下几个部分:(1)进程的隐藏,通过将系统调用表中正常的系统服务函数替换成预设的恶意的程序段,在恶意程序中修改相关进程信息,实现了隐藏进程的攻击;(2)文件的隐藏,将系统调用表中有关文件操作的系统服务函数替换成一个与原始的系统服务函数具有类似功能的函数,在该函数中过滤相关的文件信息,实现了隐藏文件的攻击;(3)驱动的隐藏,通过摘除系统内核模块内双向链表中的特定节点,实现了隐藏特定驱动程序的攻击。在论文的最后通过相关工具对结果进行了验证与分析,测试结果表明均已达到预期的目标。