近年来,随着Internet的迅速发展,网络安全问题显得日益突出。目前,网络上的攻击方式逐渐呈现出一些新特点,从以前大规模的,无特定目的的网络攻击转为小规模的,针对特定用户和目的的攻击。当今的计算机容易受到各种入侵。其中Rootkit成为危害计算机安全的重要因素之一。现有的检测技术,比如入侵检测系统,文件完整性检测,很可能无法检测出内核级的Rootkit。 本文阐述了Rootkit基本原理和所采用技术的相关理论,介绍了Rootkit检测系统的类型和面临的主要问题。详细介绍了Rootkit入侵的手段与利用的主要技术手段。Rootkit的主要特点就是隐藏信息,比如运行进程,服务,Tcp/Ip端口,文件,注册信息,用户帐号等等,常见的是隐藏运行进程,文件和注册信息。Rootkit常用的隐藏技术有DLL感染,API钩挂,线程注入,内核数据操作。本文介绍了一些检测Rootkit的技术和典型工具。 通过对Rootkit检测方法的分析,并结合可执行路径分析技术的特点,本文给出了一种基于x86平台的Rootkit检测系统的设计,并对系统的总体结构、主要功能模块以及系统的特点做了详细的说明。通过对系统调用计数,来检测计算机是否被入侵。通过多次实验,记录试验数据,来检测实际运行的效果。对实验数据作出了必要的分析和说明。通过对系统调用计数,来检测计算机是否被入侵。通过多次实验,记录试验数据,来检测实际运行的效果。对实验数据作出了必要的分析和说明。系统的流程框架为通过内核程序设置寄存器位,进入单步调试模式。检测目标系统的文件相关函数。检测目标系统的进程相关函数。检测目标系统的注册表相关函数。检测目标系统的系统服务和驱动相关函数。检测目标系统的端口相关函数。将结果与原始比对数据进行比较,如果超过阀值就发出通知。 最后对全文进行总结,提出本系统进一步的工作,并对Rootkit检测系统的发展趋势进行了展望。本文主要完成了3个方面的工作,首先介绍了网络安全现状以及安全的一些背景知识；分析了各种网络安全模型和技术；进而引出Rootkit的概念,阐述了Rootkit的相关理论,详细介绍了各种Rootkit检测模型和技术。其次,阐述了利用系统中断来实现指令计数和路径分析的方法。最后完成基于Windows的EPA检测系统整体框架的设计和实现,对关键模块作了相关测试。