Windows Bootkit是一种利用Windows操作系统引导和启动过程中的漏洞,在内核加载阶段实现对内核的劫持,具有很强的穿透现有主动防御系统和隐匿自身的能力,是一种高级的Rootkit。Windows Bootkit通过对BIOS、MBR等硬件和NTLDR等系统引导文件的注入,在Windows内核加载前获得执行机会,进而实现对内核的劫持,能先于操作系统的安全模块和各种安全软件获得计算机的控制权。虽然Windows Bootkit技术的研究目前还处于起步阶段,但是它在穿透主动防御系统和隐藏自身方面表现出来的巨大潜力使其成为后门技术研究者研究的焦点。Windows操作系统在全球拥有最多的用户,一旦Windows Bootkit技术成熟,它将对现有的安全体系造成巨大威胁。因此,研究针对Windows Bootkit的防御和检测技术具有巨大的现实意义。本文在深入研究Windows操作系统内核原理和Rootkit经典技术的基础上,以现有的Windows Bootkit样本为切入点,对Windows Bootkit的技术特点和危害性进行全面的分析和总结,深入研究现有防御和检测技术和Windows Bootkit躲避现有主动防御系统和运行时检测系统的方法。考虑到Windows Bootkit即使检测到清除也非常困难的特点,因此本文把重点研究放在Windows Bootkit拦截技术上。另外,由于主动防御系统有可能被突破,检测隐藏在系统中的Windows Bootkit,向用户提出安全警告也非常必要,本文也对Windows Bootkit的运行时检测技术进行研究。本文通过对现有特征码检测方法进行改进,提出了一种基于分类的特征码提取方法。采用这种方法构建的特征库的检测引擎具有检测效率高,对小段恶意软件片段的识别能力强等特点。本文以基于分类的特征码检测引擎为基础,将其分别与过滤驱动技术和内存扫描技术相结合,设计了针对Windows Bootkit的拦截方法和检测方法。