在安全事件中,恶意代码造成的经济损失占有最大的比例。恶意代码的检测技术总是滞后于新恶意代码的出现。一方面是人们很难区别正常代码和恶意代码;另一方面,很多信息系统缺少必要的保护措施。因此,人们常常被恶意代码欺骗,而无意地执行恶意代码。可见恶意代码被引入系统并执行是不可避免的,监控、分析或检测二进制程序是否为恶意程序已经成为现阶段的研究热点。恶意代码为了防止被分析,都有很强的自保护功能,现在主要的调试器很难对恶意代码进行分析。同时,软件保护技术的发展使大量的反调试工具出现,既有针对源代码的反调试工具,又有针对二进制程序的反调试工具。在反调试工具中,加壳工具功能比较突出,它综合使用多种技术对抗代码分析调试,而且加壳工具使用非常简单,越来越多的恶意代码使用加壳技术保护自己。本文在分析了很多反调试技术后,包括检测断点技术、检测调试器技术和自动修改代码技术等,设计并实现了一种隐蔽性强的调试器。该隐蔽调试器利用windows分页管理机制,巧妙地对目标进程设置断点以获取控制,很好地实现了隐蔽调试的特性。为获得对目标进程的控制权,本调试器利用了windows系统中进程的地址空间分为用户空间和系统空间,代码执行之前系统会进行权限检查的特点,通过修改了目标进程内存页面属性,使目标进程执行时出现异常,从而获得目标进程的控制权。为增强隐蔽性,本调试器还采用了多种设计技术,包括:通过向目标进程插入shellcode控制目标进程、不产生在windows系统中的注册信息等等。在功能使用性方面,本隐蔽调试器为系统增加了一些新的系统调用,以方便实现调试功能设置和用户交互。实验和测试证明,本文提出的调试方法可以作为现行调试技术的一种有效的补充。