随着经济飞速发展、科技不断进步，互联网技术在近几年得到了迅速的普及，人们的生活、工作越来越依赖于计算机和网络。伴随着经济利益的诱惑，木马病毒等恶意程序在用户不知不觉中嵌入计算机窃取用户信息、收集并撰改数据，因此计算机中信息安全成为人们关注的焦点。恶意程序运行在计算机中，为了躲避用户和检测工具，常常将本身隐藏起来，主要隐藏技术有进程隐藏、文件隐藏和注册表隐藏。目前各大杀毒公司的安全软件主要是通过检测隐藏进程和注册表等信息进行安全判定，即便是涉足到隐藏文件也仅仅局限于部分技术的检测。　　 本文在深入分析Windows NT操作系统的层次结构基础上，研究了在其各层实现文件隐藏、检测和恢复的技术，主要包括用户模式下的IAT(Import AddressTable)表，内核模式下的SSDT(System Services Descriptor Table)表和驱动层的文件过滤。　　 针对目前文件检测安全技术的不足，本文提出了一种新的检测隐藏文件技术，该技术通过cross-view方法实现。在该技术中，应用层直接从内核底层(驱动层)获取目标文件目录，通过与在IAT表和SSDT表获取的文件目录相比较，进行是否存在隐藏文件的判定，当判定存在隐藏文件时则分析恶意程序可能挂钩的位置，并进行适当的修复。在该技术实现的过程中，为增强文件的安全性，作者又提出了用户访问组策略思想，对于当前用户无权限访问的文件，在驱动层实施过滤，使用户无法查阅。最后通过多种典型的Rootkit实验对象对本文设计并实现的系统进行验证，实验结果表明该系统能够检测出当前流行的隐藏文件技术。　　 最后，本文对该项目工作进行了总结，归纳了当前信息安全中隐藏技术的发展趋势，提出了在本项目中的一些不足，并对今后的研究工作也进行了展望。