随着黑客技术的不断发展,Windows木马以其攻击范围广,隐蔽性强,危害大等特点成为常见的网络危害之一。基于对近年来流行的Windows木马挂钩隐藏方式的分析,改进了基于内存完整性的检测方法,以有效地检测利用各种挂钩技术的Windows木马,同时也介绍了Windows内核级木马的各种重要检测技术。内存完整性的检测方法,就是在程序运行过程中,通过对内存各个重要区域进行完整性检测,查出可能存在的异常现象,从而判断系统中是否存在木马的方法。现有的内存检测方法中,多是通过检测代码区块的完整性来判断木马的存在,它无法检测到改变内存其它区域的木马。根据内存检测原理,设计一个检测程序,它通过四个检测模块对内存进行完整性检测,它们分别是输入地址表检测,系统服务地址表检测,系统服务描述表检测和活动进程链表完整性检测。输入地址表的检测方式是基于PE(Portable Executable)文件格式的检测方式。在输入地址表的检测方式中,通过比较输入地址表和输入函数表中的函数地址,来判断是否存在木马挂钩函数。系统服务地址表检测是基于内存与文件中内容是否一致的检测,系统服务表装载入内存以后与文件中的内容只相差了一个偏移,通过对偏移量的计算,便可达到最后比较的目的。在程序中,对于这两种方法进行了具体的可行性检测和实验,并检测出基于挂钩函数的木马病毒He4HOOK,可以弥补现今内核级木马检测工具(如icesword)的不足。