进入新世纪以来,网络基础设施架构和网络应用都得到了迅猛的发展,计算机网络普及程度和网络用户数量的急剧增长,随之带来的网络安全问题也与日俱增。在众多的安全威胁中,间谍软件毫无疑问是危害最大风险最高的,围绕这一话题进行的研究和开发工作也成为了网络安全领域的热点。尤其是在用户基数庞大Windows平台上,间谍软件更是代表了安全领域最前沿的技术潮流。本文研究的目标正是基于Windows平台的间谍软件。间谍软件之所以危害巨大,是因为新型的间谍软件通常装备了特殊的隐藏技术,让自己逃避管理员和扫描工具的检测,达到隐藏自身痕迹长期潜伏的目的。网络入侵者在突破网络外层防御后,往往通过间谍软件来逐步实现对于目标网络内部的渗透和信息窃取。因此,本文对间谍软件所采用的流行检测技术进行了分析,从原理和技术实现的角度剖析了常见的进程、通信端口、注册表以及文件隐藏技术。间谍软件与病毒一样,属于恶意代码的一种,对应的检测技术也在不断的研究和发展中。本文对流行的反病毒和反间谍软件所采用的传统检测方法进行了总结和归纳,分析其优势和薄弱之处。同时,由于安全领域内检测技术与隐藏技术的对抗一直在进行,本文还对目前网络安全技术中一些针对隐藏行为的检测技术进行了分析,包括进程检测,Hook函数检测以及执行路径分析等等。通过对间谍软件隐藏技术以及现有检测技术的分析,本文提出了基于交叉扫描的间谍软件检测方法,该方法利用差异比较的原理,将底层扫描得到的可信任系统信息与高层扫描得到的不可信任系统信息进行比较,提取出隐藏行为的存在。针对具体的进程、网络端口、注册表和文件信息,本文分别介绍了高层和底层信息扫描的原理和方法。本文基于前面提出的交叉扫描检测原理,设计并实现针对隐藏型间谍软件的原型检测系统CrossScanner,并对其中采用的关键开发技术进行了综述。通过对该系统的测试发现,该系统在对隐藏的间谍软件检测上明显优于现有的商用反病毒或者检测软件。