随着计算机技术的发展,互联网越来越深入人们的日常生活。但是在它给人们带来便利的同时,网络安全问题也随之而来。木马便是其中一种威胁越来越大的基于互联网的恶意软件。为了高效地查杀木马,本文首先深入研究了木马软件所使用的隐藏技术、加壳技术、自动加载技术以及挂马技术；其次,详细介绍了用来检测系统异常的监视技术,分别是Inline Hook技术、SSDT Hook技术和IRP Hook技术；然后通过对网站URL的网络流量进行了统计分析,发现URL的网络流量与排名成指数映射关系,这一关系可以帮助我们在流量上区分URL,在此基础上,本文提出了一种基于网络流量的URL可疑度计算方法来查找木马URL；最后根据URL可疑度计算方法,借助于系统监视技术,设计并实现了一种分布式的木马URL检测架构——TrojanUrlDetector。Troj anUrlDetector是一个基于虚拟机的分布式木马URL检测系统,它主要由若干台上网虚拟机和一台服务虚拟机组成。每台上网虚拟机一方面按照符合URL网络流量分布的概率连续快速地自动访问Internet,并且记录让浏览器自动跳转的URL,另一方面监控自身的系统状态,当某台上网虚拟机表现出新建进程等异常状态时,说明它可能中了木马。每台上网虚拟机每隔一段时间向服务虚拟机提交一次URL列表和系统状态。服务虚拟机将根据URL可疑度计算方法来查找木马URL。理论推导和仿真实验证明Troj anUrlDetector可以高效地检测出木马URL,提高网络环境的安全。