Windows Bootkit作为目前最前沿的Windows Rootkit技术,把寄宿地由传统的操作系统磁盘文件扩展到了硬件BIOS芯片、硬盘MBR等位置,同时将自身的启动提前到了与Windows系统内核启动相同的级别,甚至还要更早的阶段。这样Bootkit就能较早的取得对计算机的控制权,从而实现较强的隐藏和控制功能。虽然该技术目前还处于概念性验证阶段,没有实际的成熟的恶意程序产品,但是如果现在不研究检测、清除的方法,将会给网络留下安全隐患。而只有先掌握好Bootkit所使用的关键技术和攻击手段,达到知己知彼,才能找到相应的解决方案。因此本文从攻击者的角度对Windows Bootkit技术进行研究与分析。本文对当前的Windows Bootkit实例的核心技术进行了分析和总结。从复杂的Windows Bootkit技术原理中,抽象出了基于Windows Bootkit的协同隐藏模型,并给出了其形式化的描述。在此基础上设计和实现了一个基于MBR的Windows Bootkit原型。该原型相对于传统的基于MBR的Bootkit,在hook特征码的选取上更具有通用性,同时通过hook MBR的读写操作,提高反检测能力。在隐藏实现中,除了使用Rootkit的DKOM、hook ssdt、驱动过滤等常规技术外,使用了一种新的文件隐藏技术——对象劫持,用以绕过当前所有的检测工具。在Bootkit的功能模块中,实现了一个用于远程控制的shell功能。通过三个实验验证了Windows Bootkit协同隐藏的有效性的同时,也发现了该Bootkit原型的许多不足,为该领域的进一步研究提供了可供参考的资料。最后,提出了一种结合漏洞攻击的Bootkit利用方案,研究了一种穿透主动防御软件的磁盘操作技术,提出了一种通过感染PE文件绕过Vista的UAC安全机制的方法。同时也提出了一些Windows Bootkit的预防手段和检测方法。