1、Windows系列的操作系統(tǒng)是目前大家所使用的最流行的操作系統(tǒng)，基于Windows平臺的各種應用程序也是層出不窮，為我們的工作生活提供了極大的方便。不過一些別有用心的人開發(fā)一些惡意程序，這些惡意程序也是不斷升級，對我們的正常使用安全造成了很大的威脅。
　　一些惡意的病毒木馬通過更新升級來對抗殺毒程序等安全軟件，企圖搶占系統(tǒng)的最高權(quán)限來擴展其惡意行為，這些惡意軟件可以對抗主流的安全軟件，并且其在不斷更新升級，不斷進步，如果讓其一直為

2、所欲為，這將會給我們?nèi)粘５墓ぷ骱蜕顜聿豢晒懒康膿p失。
　　綜上所述，探究惡意病毒木馬的行為以及分析其原理，開發(fā)相應的安全工具來檢測對抗惡意程序，尤其是對RootKit的檢測與防御軟件越來越有必要。Windows不是開源的操作系統(tǒng)，這無形之中增加了研究難度，實現(xiàn)一款功能完善的內(nèi)核級反RootKit絕非易事。不過，這也使得對抗分析病毒木馬變得更加有價值。
　　本文基于上述背景，探究主流的RootKit技術及其檢測技術，設計并

3、實現(xiàn)一款功能完善的內(nèi)核級Anti-RootKit軟件。該軟件具有進程管理，內(nèi)核鉤子檢測，系統(tǒng)模塊與服務枚舉檢測等功能，主要有如下特點：
　　(1)采用主動防御技術，搶先占領內(nèi)核。
　　(2)在內(nèi)核中構(gòu)造過濾規(guī)則，避免木馬搶占內(nèi)核。
　　(3)對系統(tǒng)敏感區(qū)域，系統(tǒng)目錄，進程操作，注冊表操作等進行記錄。
　　經(jīng)測試分析，本程序可以成功檢測和攔截RootKit木馬，起到主動防御的作用，軟件使用簡單，靈活，具備基本的防護