随着移动互联网的发展，越来越多的人开始使用安装Android操作系统的智能手机。而Android平台的开放性给系统安全带来了严峻的挑战。黑客通过漏洞获取系统超级用户权限后，可以采用Rootkit对目标主机进行长期控制并隐藏其攻击行为。目前的Rootkit一般分为应用级Rootkit和内核级Rootkit，本文主要研究了Android平台上内核级Rootkit的攻击和检测技术。本文首先介绍了Android操作系统的基本结构、基于Linux Kernel的系统内核及其改进等知识，并详细分析了Android电话子系统的工作原理及流程，找出了Rootkit的攻击点。在此基础上，本文还对Rootkit关键技术进行了深入的研究，包括系统调用劫持技术、虚拟文件系统（VFS）攻击和可加载内核模块（LKM）技术。这些研究都为Rootkit工具的设计打下了基础。接着，本文设计并实现了一个Android平台上的内核级Rootkit工具。该工具在已经获取了系统root权限的情况下，使用加载LKM模块进入系统的内核空间。通过替换系统调用，该工具能够控制Android电话子系统的工作流程，进而实施各种攻击。同时，该工具还能对攻击行为进行隐藏，包括隐藏文件、隐藏进程、隐藏网络连接以及隐藏Rootkit模块本身。此外，文中还探讨了Rootkit的植入、加载和不足。最后，本文在分析了常用Rootkit检测方法的基础上，针对AndroidRootkit提出了一个Android Rootkit检测模型，包括对系统调用接口的检测、对LKM模块的检测以及对Android电话子系统攻击的检测。