随着计算机的普及和网络应用的飞速发展，主机与网络安全成为人们关注的重要问题，病毒木马与杀毒软件在相互超越中不断发展。越来越多的后门程序深入到系统内核隐藏自身，在用户不知不觉中窃取信息、收集数据、破坏系统。为了躲避杀毒软件的检测，后门程序必须采用隐藏技术，其中进程隐藏是最基本最重要也是危害最大的技术之一。 本文深入地讨论了隐藏进程常用的技术，分析了用户模式下的IAT挂钩、EAT挂钩和Inline挂钩以及内核模式下IDT挂钩和SSDT挂钩的原理，接着对使用直接内核对象操作(DKOM)隐藏进程技术进行了深入的剖析，分析了内核对象结构、DKOM的基本原理和技术实现。 在分析了隐藏进程所采用的各种技术手段的基础之上，针对当前检测工具的不足，设计并实现了一个多层次的通用、有效、智能的隐藏进程检测系统。该系统在设计上充分运用模块化思想，以便于模型的扩展与更新。在系统模型中采用多种检测手段，对各种方式隐藏的进程在不同的层次上给出检测结果，因此其不仅可以作为检测隐藏进程的工具，还可以用来分析后门程序采用的是何种隐藏技术。本文的核心部分是隐藏进程的检测技术，根据检测方法和层次的不同，可将检测分为用户模式下的隐藏进程检测，基于内存扫描的钩子检测，基于内核进程链表的检测，并在前人研究的基础上，对系统内核结构进行了不断的探索，改进了基于线程链表的检测，实现了基于线程调度的检测，提高了通用性。同时对另一种进程伪隐藏的DLL注入技术进行了深入的研究，并给出了在内核模式下监控远程线程的方法。通过详细的实验对系统进行了多个实例测试，并给出了测试结果和评价，实验结果表明该系统对实验对象都产生了预期的结果。 最后，本文对全篇工作进行了总结，并对今后的研究工作提出了展望。