随着互联网技术的发展,网络安全的问题越来越引起人们的关注。近年来黑客攻击和入侵事件频繁,网络攻击行为已从单纯的以破坏为口的逐步转化为以攫取经济利益为目的,黑色产业链逐步形成。以木马为主的恶意程序泛滥成灾,给人们的生产和生活造成巨大的危害。目前,网络安全领域流行多种木马检测技术,有些木马检测技术已经成功地应用在木马查杀工具中。但随着木马技术的发展,各种新型的、运用各种高级免杀技术的木马不断涌现,给木马检测带来巨大的困难。总体而言,木马技术和木马查杀技术在对抗中都不断的向前发展,但木马检测技术却始终滞后于木马技术的发展。因此,进一步完善和发展木马检测技术,促进互联网的安全发展,具有重要的理论和现实意义。本文提出了一种基于扩展攻击树的木马检测技术,通过对木马完成特定功能所需调用的危险API序列进行分析,建立木马扩展攻击树,作为描述木马行为特征的数据库。执行木马检测时,将待检测的PE文件与木马扩展攻击树进行匹配,并运用相应的计算方法计算出其静态危险指数,通过比较静态危险指数的大小对目标PE文件是否为木马做出判断。本文的主要工作有：(1)研究了木马攻击的相关原理和技术,并分析了当前主流的木马检测技术及其优缺点。(2)对攻击树的相关理论进行了介绍,并研究了扩展攻击树在木马检测中的应用,同时提出子对现有的基于扩展攻击树的木马检测技术的改进措施,创造性地提出了动静结合的木马检测新方法。(3)设计和开发出基于扩展攻击树的木马检测程序,包括静态木马检测程序和动态行为监控程序并对其进行子实验测试,通过改进前后木马检测效果的对比以及与其他木马检测工具的对比,验证子该木马检测技术的准确性和优越性。