权威部门的调查结果表明,超过80%的安全威胁来自内部人员犯罪或通过内部进行的攻击。内部人员通常很容易获得存储信息的计算机终端的完全控制权,现在居于垄断地位的Windows NT系列操作系统对于信息安全只提供一些最基础的支持,完全不能满足当前需求,因此研究在第三方信息安全防护系统中如何防止内部信息犯罪很有必要。Rootkit是近年来出现的一种黑客借以躲避反病毒软件和系统管理实用工具查杀的技术。但是rootkit并非天生邪恶,它仅仅是一种技术,美好或是邪恶完全取决于使用它们的人。换个角度,可以把rootkit理解为一种用来在目标系统上隐藏自己的踪迹和保留root最高访问权限,神不知鬼不觉地实现自己功能的技术。介绍了几种可以在信息安全领域应用的Windows内核rootkit技术:内核钩子技术、分层驱动技术、直接内核对象操作技术,从系统安全、数据安全、网络安全三个方面论述了这些rootkit技术在Windows第三方信息安全防护系统中的应用,并分析了它们相比于传统方法的优势,给出了一个利用SSDT钩子技术保护客户端系统程序进程和注册表项、利用TDI传输驱动接口程序和IRP钩子技术构建和保护系统客户端和服务器间的网络通信端口、利用DKOM技术隐藏驱动程序、利用文件系统过滤驱动技术进行文件访问控制和文件透明加解密、利用NDIS网络中间层驱动技术进行网络访问控制和网络通信数据透明加解密的系统解决方案,给信息安全领域核心问题:系统自保护、文件访问控制及加解密、网络访问控制等提供了在操作系统内核实施的具体思路及技术方法。经实验测试和结果分析,达到了预期的功能要求,使信息安全措施对于用户态完全不可见且难以绕过,可以对内部人员的信息犯罪活动起到预期的防护效果。