rootkit是一种用来隐藏自己及相关资源(进程、端口等)或者掩盖自己纂改系统信息的程序,其设计目标就是逃脱系统常规的检测方法,使其对于系统是不可见的。自2005年Sony的数字版权管理使用rootkit技术被著名的安全分析专家MarkRussonovich曝光后,rootkit逐渐引起公众普遍关注,并激发了新型rootkit技术的开发和研究。目前rootkit已被看作一种日益增长的信息安全威胁。据微软信息安全部门的统计数据:从Windows XP SP2清除的恶意软件中,超过20%是rootkit。而在国内猖獗一时的灰鸽子凭借rootkit技术对抗系统安全软件的检测,并曾连续3年被评为中国十大病毒之一。现在,国内外安全社区都正在认真面对rootkit所带来的严峻挑战。本文对Windows rootkit进行了系统的分析研究。首先,在阐述Windows rootkit的定义,并对其进行分类后,以内核调试器WinDbg为工具,分析和验证保护模式下CPU的分段机制和分页机制,说明理解CPU保护模式对Windows rootkit设计的重要性。其次,详细分析Windows rootkit的经典技术:SSDT的HOOK技术、IDT的HOOK技术、detour补丁技术、DKOM隐藏技术,重点研究这些技术的底层细节,说明这些Windows rootkit技术的具体实现方法。然后,研究Windows rootkit重要的隐藏目标:文件、进程、端口、驱动在Windows系统中的管理方式,运用前面介绍的经典技术实现隐藏这些系统资源的Windows rootkit,并剖析其核心技术,分析其设计思路。最后,研究Windows rootikit的交替数据流(Alternate Data Streams)、隐藏注册表等技术,并对这些技术进行了详细的解析。本课题的研究工作对Windows rootkit技术进行了全面而又深入的剖析,弥补了现有对Windows motkit技术设计与分析的不足,具有一定的通用性和参考价值。