基于Windows启动过程的Rootkit作为目前最前沿的Rootkit技术,把存放地由传统的操作系统磁盘文件扩展到了硬件BIOS芯片、硬盘主引导扇区等位置,同时将自身的启动提前到了Windows系统内核启动相同的级别,甚至还要更早的阶段。这样基于Windows启动过程的Rootkit就能较早的取得对计算机的控制权,从而实现较强的隐藏和控制功能。基于Windows启动过程的Rootkit技术划分为两个分支,即：BIOS Rootkit技术和Bootkit技术,这样分类主要的依据是：Rootkit存放的地方和启动的时机不一样。只有很好地掌握了基于Windows启动过程的Rootkit所使用的关键技术和攻击手段,达到知己知彼,才能找到相应检测技术的解决方案。因此本文从防御的角度对基于Windows启动过程的Rootkit技术进行了研究与分析。本文主要研究工作如下：(1)对木马模型框架的理论及其协同隐藏模型进行较深入的研究和分析,给出了BIOS Rootkit协同隐藏模型及模型的应用,并提出一种基于协同特征的BIOS Rootkit检测技术。针对现有的BIOS Rootkit检测技术所存在的能查而不能正常恢复的不足之处,本算法采用了搜索特征码、动态恢复等技术,实验结果表明该检测技术具有很高的可靠性,且能够很好的恢复被BIOS Rootkit篡改的中断服务。(2)在详细的逆向分析主引导扇区结构及引导代码后,提出了一种基于MBR的Bootkit检测技术,这种检测技术解决了嵌入型Bootkit无法检测的问题,在主引导扇区的恢复方面,本算法根据不同类型的Bootkit采用了不同的恢复技术,最后通过实验验证了基于MBR的Bootkit检测技术具有很强的检测能力和很好的修复效果。