僵尸网络已经成为了互联网上最严重的威胁之一,检测和抵抗僵尸网络是现在的热点问题。目前僵尸网络的检测方法大部分是基于网络行为和特征,这种方法容易受到僵尸网络结构的影响而使得效率不高。而一些学者提出的基于单主机的检测方法是僵尸网络检测的新的尝试,虽然取得了一些成果,但已有的方法较为有限且对未知僵尸程序检测效果不佳,需要新的更加有效的检测方法。针对目前基于主机的检测方法较少且效果不佳的问题,本文提出了一种基于主机的僵尸程序检测方法。首先用API HOOK技术来观测僵尸程序的各种行为的API函数调用,得出僵尸程序在响应各种命令时的一些固定的特征,然后依据这些不变的特征提出了一个检测模型。主要方法是监督系统中的所有进程,并与白名单中的进程进行比较,对于那些不在白名单中的进程,检查它们是不是随机启动的进程,如果是的话,视为可疑进程,并对可疑进程对应的可执行文件进行分析,依据PE文件的结构进行特征提取,把提取出的可执行文件的特征码与黑名单中的已知僵尸程序的特征码做比较,如果发现有相同的特征码,则直接报警,并把余下的可疑进程做为高度可疑进程进行处理。向高度可疑进程中通过远程注入的方式进行API函数调用的监督,监督工作由快速检测和序列检测共同合作完成,快速检测方法的依据是几个重要的API函数参数调用与僵尸网络控制者的命令有很大的关联,通过参数的检查来确定是否是僵尸程序,序列检测的依据是僵尸程序的API调用序列与正常程序比有很大的区别,通过对序列的量化与处理,可以用支持向量机分类进行判定是否是僵尸程序。实验结果表明本文提出的方法可以检测出僵尸程序的存在,准确性很高,并且不会受到僵尸网络结构变化的影响。