近几年来,互联网发展迅速,统计数据显示,截至2009年9月30日,世界上有超过17亿的互联网用户。一些犯罪份子也同样注意到了这一趋势,不断非法地对计算机系统进行攻击渗透。对于恶意软件特别是木马的盗窃信息、非法控制电脑的行为,特别是对于采用驱动级Rootkit技术的恶意软件隐藏行为,有效地检测及防御它们就显得尤为必要,然而由于Windows操作系统是不开源的,这对研究其内部的原理增加了一定的难度。本文通过静态分析方法、动态分析方法相结合的方式,对基于Rootkit的隐藏技术进行了详细的分析,对传统的文件隐藏、进程隐藏、网络通讯隐藏的代码进行了技术探究,在此基础上,对木马的检测方法进行了比较和改进,比较了常见的特征码检测、启发式检测、基于行为的检测、完整性检测方法的优缺点,提出了基于cache(缓存)的隐藏文件检测方法,对Rootkit技术实现进程隐藏的SSDT HOOK进行了有效地检测并代码实现。最后,对检测思路进行了验证,以虚拟机的形式建立了木马分析环境,以木马网银大盗为实例,对检测思路进行了验证。通过验证,证明了检测思路的正确性。同时,对木马的防御策略进行了说明,从社会工程学的角度讨论了有效地进行木马防御的方法。