Rootkit是一种新型的恶意程序程序或程序集,设计的目的是用来秘密的控制被攻占的计算机的行为。通过隐蔽后门程序或其他类似的工具程序,使得这些工具程序能在指定计算机上长期非法存在;同时当用户查询计算机的当前状况时,通过隐藏相关信息的方法来欺骗用户,使用户相信此计算机未受到侵害。Bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展形式,对系统启动和内核准入安全提出了最新挑战。由于Rootkit/Bootkit(R/Bootkit)属于信息安全攻防的新型技术亮点和潜在的危险变种,当前业界和学术界竞相公布出各自富有特色研究项目。本文的主要工作和特色如下:1. B/Rootkit行为剖析以及行为特征的形式化描述深入探索当前主流B/Rootkit的危害原理以及技术要点实现,以及主流Anti-R/Bootkit在行为判断上过多依赖用户选择的现状,指出了恶意进驻内核这个行为特征提取是Bootkti/Rootkit防范与检测的技术瓶颈,为此我们定义出形式化描述语言规范,以描述出该恶意行为特征。2.基于恶意进驻内核行为特征的Anti-R/Bootkit原型系统设计与实现在此基础上,利用该形式化描述语言规范和行为策略,我们设计并实现了一个基于恶意进驻内核行为特征的Anti-R/Bootkit原型系统。在和同类商业化的Anti-R/Bootkit系统的比较中,显示出较优的自主识别能力以及较好的未知R/Bootkit预防能力。本文最后提出了R/Bootkit和Anti-R/Bootkit对抗中新的发展趋势,并介绍了下一步的工作方向。