RootKit是能够持久、可靠地存在于计算机上，而难以被检测的一组程序或代码，它使得攻击者可以隐藏自己的踪迹，并且拥有超级用户的权限。近年来，攻击者通过将RootKit与恶意程序相结合，使得恶意软件具有系统管理员权限，长期潜伏于被控制计算机系统中，并躲避安全软件的检测，对计算机用户产生极大的威胁。　　 本文首先对Windows RootKit的功能和危害进行分析，详细介绍了它在用户空间和内核空间中所采用的核心技术，其中包括用户空间钩子、内联钩子、系统服务描述表钩子、中断描述表钩子，以及设备驱动钩子等相关技术　　 另外，文中分析了当前WindowsRootKit检测和清除常用的方法，对常见的WindowsRootKit的挂钩技术和隐藏功能进行分类检测。然后重点阐述了本文所使用的检测和清除WindowsRootKit的方法和实现过程。其中主要涉及的检测内容包括系统中的恶意钩子、隐藏在系统中的恶意进程、可疑文件和端口等。　　 对于检测到的RootKit，针对不同的类型，文中给出了相应的清除方法，这主要包括可疑进程和文件的清除。　　 本文的主要工作是将针对WindowsRootKit的理论研究和实际应用结合起来，实现了可以检测和清除Windows操作系统中所存在的主流WindowsRootKit的系统平台，提高了一般检测平台的稳定性和兼容性。