网络安全是信息学中不可分割的组成部分,而木马的分析和检测技术又是网络安全领域的重中之重。如今绝大多数的计算机甚至手机都安装了各式各样的木马检测和查杀软件。本文主要针对Windows系统下的木马分析和检测方法作研究。而在Windows系统下木马必须以PE文件形式存在,才有可能进一步的入侵计算机从而达到非法的目的。通常在木马检测过程中判断PE文件是否加壳这一点不可忽视,所以文中对于PE文件的加壳检测方法也作了一系列研究。文中首先对国内外木马检测的研究现状作了详细的介绍和分析,提出了木马检测的基本方法,既动态检测和静态检测方法。其次文中详细的介绍了PE文件的组织结构,分析方法和区块特性。为进一步的从PE文件中提取各类有效信息和分类特征做准备。接着介绍了一种识别加壳PE文件的方法,此方法主要基于计算PE文件特定属性的明可夫斯基距离。因为在特定的一些属性特征上加壳PE文件与非加壳的PE文件有着显著的区别。实验结果表明此方法能有效的检测加壳PE文件。最后文中提出了一种基于C5.0决策树算法的木马静态检测方法,该算法以从PE文件中提取出的各种属性作为分类特征,并结合了高效的boosting算法。而对PE文件首先用PEid软件进行去壳操作,再进行进一步处理以提高性能指标。实验结果表明此方法在不少方面都取得了一定的进步。