在互联网技术飞速发展和普及过程中存在着巨大的安全隐患,其中木马泛滥异常猖獗,技术上不断更新,因此研究木马检测技术有着重要的意义和价值。本论文在研究当今国内外木马检测技术研究现状及不足后,提出采用目前比较流行的基于木马行为特征检测技术作为主要应用技术,重点对木马行为特征进行了详细的研究总结,并依据木马常见的行为特征构建木马行为特征库。论文在理论研究的基础上设计实现了一款基于木马行为特征检测系统。详细叙述了系统结构设计、系统功能模块设计及基于木马行为特征库设计。其中系统功能模块包括控制中心模块、网络通信检测模块、进程检测模块、文件检测模块及注册表检测模块。每个模块论述中包括工作原理,框架结构图及流程图。最后,根据系统功能模块获取的行为特征,利用构建的木马行为特征库得出待测文件的判定结果。其中论文对部分关键技术研究进行详细叙述。首先研究了网络通信模块所使用的两种关键技术Winsock 2 SPI技术和NDIS HOOK技术,包括两种技术的基础知识和特点等,然后介绍网络通信两大模块的实现:基于SPI HOOK模块首先介绍实现原理,然后通过Nmsock.dll中截获网络封包的实现和Nmsock.dll中解析网络封包的实现两部分详细叙述了基于SPI HOOK模块的具体实现;基于NDIS HOOK模块首先介绍实现原理,然后通过Nmdriver.sys中截获网络封包的实现、Nmdriver.sys中协议判定的实现和Nmdriver.sys中解析网络封包的实现三部分详细叙述了基于NDIS HOOK模块的具体实现。最后,对原型系统进行了多方面的测试,测试结果显示系统基本满足需求,检测结果准确,通过对检测结果的分析提出了对今后工作的展望。