信息技术极大地促进了人类社会的进步,同时也带来了计算机犯罪问题。黑客入侵、网络诈骗、网络色情等案件的出现影响了互联网的健康发展,更是破坏了正常的经济发展和社会生活秩序。计算机取证(Computer Forensics)是打击计算机犯罪所使用的主要技术手段,是目前法律工作者和信息技术工作者共同研究重点内容。本文针对传统的rootkit查找方法的缺陷,根据物理内存分析技术的发展提出的。通过分析物理内存,得到所需的目标机器上存在rootkit木马或者不存在的证据。首先深入研究和分析了计算机物理内存镜像获取技术和Rootkit的攻击原理。在文中还介绍当今流行的Windows Rootkit。经过分析windows rootkit原理可知,rootkit用于隐藏的技术比较多,如在中断描述符表(IDT)和系统服务描述符表(SSDT)等地方设置钩子或直接修改某些内核数据结构。本文中详细的分析了几种rootkit的隐藏技术的原理,分析了几种常用的windows rootkit检测工具。无论Windows Rootkit是通过修改中断描述符表、驱动函数还是系统服务调度表等地方来实现欺骗系统,让系统执行其非法代码,实现其非法目的,都要把它的进程隐藏起来。为了不让系统或者反Rootkit程序发现而隐藏自身的进程是Windows Rootkit必须做的工作。根据这个原理,在检测Windows rootkit的时候,我们就以检测隐藏的进程为主要依据来检测当时的系统中是否存在rootkit。文章中利用基于交叉视图(Cross-View)的方法来来检测rootkit。在这个方法中获得真实的进程列表是一个难点,在实验的过程中通过Windbg调试内核来得到EPROCESS,HADLE_TABLE等重要的内核数据结构。通过对这些重要的内核数据结构的研究掌握了通过进程句柄表来列举当前系统进程列表的方法。论文主要研究内容如下:1、对计算机取证的相关概念,背景及国内外的发展现状进行了详细介绍。2、对Windows XP系统下的日志文件的格式进行了详细的分析。3、详细的阐述windows系统下常用的几种获取物理内存镜像的方法,还介绍了内存镜像的分析方法。4、概述了windows物理内存的管理机制,并且结合实例详细的介绍了虚拟地址到物理地址的转换方式。5、对rootkit所使用的几种技术原理(如挂钩系统服务描述符表,直接内核操作法等)进行了详细的介绍。6、给出了传统的rootkit检测的方法,并且在基于交叉视图(cross-view)的检测的基础上,提出了一种检测效果比较明显的检测方法,且给出了主要的代码。