恶意代码通过多种手段在计算机系统和网络中迅速传播，对信息安全产生严重影响。近几年，计算机病毒、蠕虫和木马等恶意代码在技术上逐步趋向交叉和融合，其攻击力、破坏力和生存能力都显著增强，这给恶意代码的检测、防御和清除工作带来严峻挑战。因此，研究恶意代码的检测技术对其防治工作具有重要的现实意义。本文针对传统沙箱在用户空间中对系统API函数调用进行监控，很容易被恶意代码绕过，并且，基于虚拟机和仿真环境的检测方法过多的消耗系统资源，且容易被恶意代码的防御检测机制发现的缺点，使用内核级的API Hook技术，对恶意代码的系统API函数调用进行更底层的监控和拦截，对恶意行为进行内核级的监控；使用基于操作系统级系统调用接口资源的重命名机制，对恶意代码请求的系统资源进行重定向，使其操作重定向以后的系统资源，或者对该系统调用操作进行虚拟化，从而，实现了一个真实且隔离的恶意代码执行环境。并且，沙箱可以尽可能多的共享操作系统资源，使用只对恶意行为进行监控，对非恶意行为放行的策略，满足了构建高性能沙箱的要求，并保证了恶意代码在沙箱中能够完整执行，实现了检测过程的有效性和完整性。本文主要针对Windows操作系统的恶意代码检测技术进行研究，在对传统沙箱技术不足进行分析的基础之上，针对其存在的主要缺点，提出了基于内核级API Hook和操作虚拟化的沙箱技术解决方案。仿真实验证明，与其它类型的沙箱进行对比，本文沙箱对恶意行为的检测具有准确性和高效性的特点。