近几年,随着计算机知识的普及,各种黑客教程、木马生成机、病毒生成机的日益公开化,特别是恶意软件源代码的公开,使恶意软件的数量急剧增长,给计算机安全带来了极大威胁。　　 反恶意软件领域的防范措施主要依靠的仍然是传统的基于特征码的扫描技术。特征码技术就是指用静态的、依赖领域专家个人能力的特征提取方法来描述恶意软件。也就是说,每当出现一种新的恶意软件后,需要找到唯一能区分它的特征码。这种方法的优点是准确度高,但缺点是要维护日益增长的特征库和对人的高依赖性。由此,人们引进了其它检测技术,如虚拟机技术、启发式检测技术、主动防御技术等。　　 针对当前恶意软件检测技术的不足,本文研究了windowsNT环境下以进程行为为基础的恶意软件检测技术。分析了系统内进程可能产生的关键行为,并依据进程行为的关联性,建立了常见恶意软件行为模型。通过对Biba完整性模型的分析,本文建立了一个适用于进程行为分析的完整性模型,并将其结合到进程行为检测系统中。　　 本文通过系统服务挂钩技术、文件过滤驱动技术、注册表监控等技术收集进程行为信息,并传递给专家系统进行分析。当发现未知进程是恶意进程之后,便运行还原系统进行数据完整性保护。实现了一个行为收集、行为检测、完整性保护为一体的检测系统。在对各个模块技术需求进行分析后,本文给出了各种技术的具体实现,并进行了实验验证了本文所设计的检测方法的有效性。　　 最后,本文对全篇工作进行了总结,并对今后的研究工作进行了展望。