恶意软件从早期的简单病毒、蠕虫逐步进化发展成实现特定目的木马、Rootkit等高级形态，并在网络空间中肆意传播，对用户的计算机系统造成严重的危害。对“暗云”木马、“海莲花”木马、Hacking Team远程控制系统RCS的技术分析表明，恶意软件针对监测软件的对抗能力越来越强，监测软件与恶意软件之间的监测与反监测、隐藏与反隐藏技术对抗会一直存在。恶意软件行为隐蔽监测技术的研究对于实现自动化的恶意软件行为监测分析具有重要意义。　　本文针对当前恶意软件行为监测技术在隐蔽性和监测能力方面的需求，研究开发了一套恶意软件行为隐蔽监测系统，并通过测试实验对其有效性进行了验证。论文的主要工作体现在以下方面:　　(1)深入调研了国内外主流恶意软件行为监测技术和进程模块隐藏技术方法，对已有的用户态模块隐藏技术以及内核态模块隐藏技术分别进行总结分析。　　(2)研究并实现了基于读文件式加载代码的模块隐藏方法，对操作系统的DLL加载过程进行精简，对PEB链表、虚拟地址描述符表、NTDLL的HashTable等信息进行重构，可实现在Windows XP、32位Windows7、64位Windows7中跨多操作系统的有效隐藏。　　(3)采用基于读文件式加载代码的模块隐藏技术，重点针对难度更高的64位Windows7操作系统，设计实现了完整的恶意软件行为的隐蔽监测系统，利用Inline Hook技术实现针对文件、进程、注册表和网络四类系统调用的API Hook;通过优化Windows7系统的ApiSetSchema机制，实现监测点全覆盖情况下的监测API内容精简;具有监测项可配置、监测策略可实时更新、监测日志可灵活过滤的特点。　　论文的测试实验表明:该系统可以绕过18种知名的ARK工具的进程隐藏模块的检测，可实现对“海莲花”等5款知名的恶意软件的全面行为监测，具有良好的隐蔽监测能力。