随着网络的发展,网络信息安全问题日益成为人们关注的话题。从过去病毒猖獗到现在的木马泛滥,以窃取信息为目标的木马开始替代病毒成为网络安全的头号敌人,它已经成为幕后灰色利益集团“互联网转型”的重要工具,制造,传播,盗窃账户信息,获取非法利益,洗钱,分成,形成了一条以木马为轴心,以窃取用户财产为目的的完整的“黑客经济链条”。本文工作如下：一、梳理了木马的分类,介绍了木马发展中历经的五代技术及今后的发展趋势。具体分析了木马的工作原理,以及在植入、启动、隐蔽、建立通信等四个方面运用到的各种具体技术,详细的分析了木马隐藏自身资源方面所用到的挂钩技术,远程线程插入技术,端口复用技术等,同时介绍了动态链接库的具体使用原理。二、具体介绍了现阶段已有的五种反木马技术：特征码技术、虚拟机技术、静态启发式技术、动态启发式技术(行为检测技术)、入侵检测技术,比较了每种技术的优缺点,以及各自的优势领域。三、针对现阶段主流的木马种类,分析操作系统的服务流程,在内核态和用户态切换的方法以及API函数的使用,在此基础上针对现在主流的高隐藏性的Rootkit木马,提出自己的检测思路：从底层直接解析系统资源来获取所有的信息,再与用户态的资源对比从而检测出隐藏资源。利用上述思路建立起一个木马检测系统模型,将内存完整性检测和进程、注册表、文件隐藏检测结合起来,并在章节中阐述每种检测模块的思路和具体步骤。四、对木马检测系统进行测试,结果表明对于高隐藏性的Rootkit木马具有较好的检测效果,对比同类检测软件有一定的优势,但也发现了本检测系统的不足之处。