本书是目前第一本关于rootkit的详尽指南，包括rootkit的概念、它们是怎样工作的、如何构建和检测它们。 世界顶级软件安全专家、rootkit.com创始人Greg Hoglund和James Butler向大家详细介绍攻击者是如何进入系统并长期驻留而不会被检测到的，以及黑客是如何摧毁Windows XP和Windows 2000内核系统的，其概念可以应用于现代任何主流操作系统。通过本书，读者可以全面掌握rootkit，提升自己的安全防范能力。

前 言　　 　　rootkit是持久且无法察觉地存在于计算机之上的一组程序和代码。 历史背景 　　我们对rootkit产生兴趣来自于我们在计算机安全领域的本职工作，但对于该主题的探索迅速发展成为一种个人使命。这导致了Hoglund建立rootkit.com网站，一个致力于反向工程和rootkit开发的论坛。我们两人都深深投入到了rootkit.com中。Butler首先通过该网站在线联系上了Hoglund，因为Butler得到一个需要测试的强大的新rootkit1，名为FU。他向Hoglund发送了一些源代码和预编译的二进制代码，然而疏忽中却没有发送内核驱动程序的源代码。令Butler惊奇的是，Hoglund成功地将预编译的rootkit加载到自己的工作站上，并报告说FU似乎运行良好。之后我们彼此的信任才不断加深2。 　　我们两人都长期受到一种几乎执拗的想法的驱使，即对Windows内核进行反向工程。就像当有人说我们无法做成某事时，我们就一定要完成它。了解所谓的计算机安全产品如何工作并发现它们的原理会令人感到非常满足。这必然导致更好的保护机制。 　　某种产品声称提供了某种级别的保护并不一定意味着它实际能够如此。在扮演攻击者的角色时，我们总是占据着优势。作为攻击者，我们只需想到防御者没有考虑的一件事即可。而另一方面，防御者必须考虑到攻击者能够完成的所有可能的事。这个数量对比有利于攻击者。 　　几年前，我们联合开设了培训课程“rootkit技术的攻击问题”。该课程最初只准备了一天的材料，现在已发展为数百页的笔记和示例代码。该课程的素材最终成为本书的基础。现在我...