在网络攻击中,隐藏技术被越来越多地应用于恶意程序的保护。由于程序隐藏使用的技术通常都比较复杂,常规检测工具一般难以检测出来,所以针对当前恶意程序所采用的主流隐藏技术,研究隐藏程序检测技术具有非常重要的意义。针对一类特定应用需求,在对主流程序隐藏技术和检测技术分析的基础上,给出了一个基于交叉视图的Windows隐藏程序检测系统CVBHDS(Cross View Based Windows Hidden Program Detection System)的设计思想以及需要关注的问题。阐述了CVBHDS的功能需求,给出了其总体架构以及功能模块划分。基于CVBHDS的总体设计,重点阐述了其中关键功能模块的实现,包括进程检测、系统已加载驱动模块检测、文件检测、端口检测以及系统内核对象检测等功能模块。围绕各检测模块的实现,针对不同隐藏技术,从不同角度探索了能有效检测出绝大多数隐藏行为的可靠途径。基于所找出的可靠途径,通过比较常规途径和可靠途径所获取系统信息的差异,来检测出那些试图在常规检测工具中实现隐藏的程序的痕迹。实际测试结果表明,CVBHDS不仅能够有效地检测出被多种主流隐藏程序隐藏的进程、进程内模块、系统已加载驱动模块、文件和端口等信息,而且能够通过分析系统服务描述表SSDT(System Service Descriptor Table)和中断描述表IDT(Interrupt Descriptor Table)来检测出被挂钩的表项,从而给分析隐藏程序的行为提供重要的参考依据。换言之,CVBHDS不仅能够有效地检测绝大多数用户态隐藏程序,而且能够分析出多个内核态隐藏程序的痕迹。