近几年来计算机病毒、木马数量成指数增长,泛滥成灾,严重威胁着网络安全。病毒从原来简单的破坏系统快速的蜕变到不法分子窃取用户虚拟财产的工具。计算机病毒制造的模块化、专业化以及病毒“运营”模式,在互联网上已经形成了病毒产业链。近期出现的内核模式驱动级病毒是集特洛伊木马病毒、下载器病毒、后门病毒、Rootkit技术为一体的复合型病毒。它们的特征是运行在内核驱动级、能与安全软件抗衡、不对系统进行破环但为别的病毒提供下载支持。如今这些内核驱动级的病毒成为病毒产业链的“源头”。本课题正是针对这种现象,致力于分析内核级驱动病毒的技术,并对其中相应的一些检测技术展开了研究和改进,最后对提出的改进检测技术进行模块程序实现和实验检测。本文首先叙述了病毒的定义、特征和类型并对内核模式驱动级病毒进行了简要的介绍,然后介绍了内核模式驱动级病毒相关的WindowsNT操作系统内核原理。接着对内核驱动级病毒所使用的技术进行了深入的研究,其中包括PE文件感染技术、应用层挂钩技术、内核层挂钩技术、进程隐藏技术。然后从用户层和内核层两个层面对典型的内核模式驱动级病毒进行代码级的剖析。最后经过对SSDT挂钩检测、驱动挂钩检测、隐藏进程检测的研究提出了改进方案并进行了模块设计和实验检测。本课题主要解决的难点问题包括:深入剖析了当前流行内核模式驱动级病毒的技术,如提取病毒内核层资源的“Drop”技术、“直接硬盘访问文件”技术、应用层挂钩技术、内核挂钩技术(SSDT挂钩、驱动挂钩)、进程隐藏技术等;对内核模式驱动级病毒的一些检测技术进行了研究,提出了改进方案,进行模块程序设计,并进行了实验检测。