随着信息安全技术的发展,当今在信息安全领域中Rootkit变得越来越重要,Rootkit技术正成为信息安全领域最大的挑战之一,越来越多的研究人员开始涉足Rootkit技术。该技术最早被应用于Unix系统,后来慢慢发展到其他系统。Rootkit是一组能持久存在且难于被察觉的一组程序和代码。Rootkit所采用的大部分技术和技巧都用于在计算机中隐藏代码和数据。然而Rootkit并非天生邪恶,这项技术可以用在很多正面的场合,如取证人员可以利用Rootkit实时监控嫌疑人员的不法行为,它不仅能搜集证据,还有利于及时采取行动;由于信息已经日益成为国家的命脉,在现代战争的信息战中,破坏敌方核心的信息系统,成为了克敌制胜的关键。要打赢一场信息战,关键在于如何获取敌方情报并摧毁敌方信息系统夺取战场信息的控制权。本文首先叙述了Windows系统中与Rootkit相关的内核原理,在此基础研究了进程隐藏后的活动对系统能产生的影响,并基于此提出了多点联合进程隐藏(Multi-PointJoint Process Hide)的思想,即不仅仅是隐藏进程本身,对隐藏进程活动产生的诸多影响均予以隐藏。文章在Abraham Silberschatz等人对操作系统研究的基础上将操作系统进行了形式化,以此为基础从理论上给出了MPJPHR(Multi-Point Joint Process HideRootkit)的性质特征的描述。文章结合Petri网理论将MPJPHR的动态行为和静态特征进行抽象提出了MPJPHR模型并详细分析了MPJPHR模型各个组成模块动态活动的内部机制,为后面原型的设计和实现奠定了基础。最后设计并实现了MPJPHR模型的原型,完成了本文描述的Rootkit技术的代码编写,进行了一系列的测试,在实际应用中达到了比较好的效果。