Rootkit 技术是各种攻击中通常采用的技术，它为恶意软件提供了隐藏行迹的功能。因此，为保护用户计算机安全，对Windows 操作系统环境下的Rootkit 技术展开研究，不仅在犯罪嫌疑人的远程监控及远程特定信息获取中具有重要的理论和实践意义，而且在特定用户信息的保护中也具有较高价值。　　 从用户模式和内核模式两个方面分别分析了Rootkit 程序采用的主要技术，归纳并说明了常用的Rootkit 检测技术和检测原理。以此为基础，阐述了一个基于Rootkit原理的且封装了TCP（Transmission Control Protocol）通信和NDIS（Network DriverInterface Specification）通信两种通信方式的PCTS（Program Concealment Tools）系统的设计思想，分析了该系统的应用场景，给出了PCTS系统的功能需求，如通信、隐藏等。按照自顶向下的设计原则，论述了PCTS系统的体系结构和工作流程，阐明了系统启动模块、通信模块、命令解析模块和隐藏模块的具体设计。　　 基于NDIS 协议驱动的原理及通信函数封装原理，给出了NDIS 协议驱动的实现、应用程序和驱动的交互方式及NDIS 协议驱动采用的通信保障机制。在此基础上，基于NDIS 协议驱动实现了一个可以隐藏通信端口的中间层API（ApplicationProgramming Interface）。说明了PCTS 系统具体实现，其中着重论述了隐藏模块的实现，包括用户模式隐藏的进程注入技术、导入表二次跳转挂钩技术及内核模式隐藏的SSDT（System Service Dispatcher Table）挂钩及DKOM（Direct Kernel Object Manipulation）技术等。　　 测试结果表明，PCTS系统能够随系统自启动，能够隐藏特定信息，包括端口、注册表、文件、进程等。而且在用户的配置下能根据用户的不同需求对相关隐藏信息进行恢复。