1、隨著惡意軟件數(shù)量的飛速增長(zhǎng)，當(dāng)下信息安全已經(jīng)是互聯(lián)網(wǎng)必須面對(duì)的問(wèn)題。大型網(wǎng)絡(luò)安全事件如火焰、震網(wǎng)等頻頻發(fā)生并大量曝光，在信息安全各類威脅中，惡意代碼由于其較高的針對(duì)性，并且長(zhǎng)期潛伏，具有高攻擊技巧等特點(diǎn)，已經(jīng)成為如今信息安全最大威脅。于是，亟需一種高準(zhǔn)確性的惡意軟件分析技術(shù)對(duì)惡意代碼進(jìn)行分析。
　　首先，分析研究了惡意代碼相關(guān)特征和已有惡意代碼檢測(cè)技術(shù)，發(fā)現(xiàn)了各類別分析檢測(cè)方法中存在對(duì)未知惡意代碼無(wú)法檢測(cè)、檢測(cè)結(jié)果準(zhǔn)確性低的問(wèn)題。

2、
　　其次，總結(jié)各類Windows下API函數(shù)與行為分析特征，并對(duì)行為特征完成分類，在這個(gè)基礎(chǔ)上，提出了基于內(nèi)核級(jí)API行為分析的惡意代碼檢測(cè)方法。通過(guò)監(jiān)控系統(tǒng)API調(diào)用及內(nèi)核重要數(shù)據(jù)來(lái)獲取相關(guān)可執(zhí)行代碼的行為，基于內(nèi)核級(jí)API檢測(cè)技術(shù)，抽象出由目標(biāo)層，準(zhǔn)則層，實(shí)施層的惡意軟件檢測(cè)模型。在目標(biāo)層中完成惡意代碼的整體檢測(cè)與信息匯總，在準(zhǔn)則層，通過(guò)對(duì)惡意軟件行為的分析與分類，將準(zhǔn)則層分為，文件行為，注冊(cè)表行為，進(jìn)程行為，網(wǎng)絡(luò)行為四個(gè)部

3、分。在實(shí)施層完成具體的詳細(xì)功能檢測(cè)，并將結(jié)果信息傳入準(zhǔn)則層，再由準(zhǔn)則層向上發(fā)至目標(biāo)層。
　　最后，在以上模型基礎(chǔ)上，實(shí)現(xiàn)了惡意行為檢測(cè)系統(tǒng)。通過(guò)子模塊的詳細(xì)設(shè)計(jì)，由內(nèi)核層模塊系統(tǒng)、判斷相關(guān)子系統(tǒng)和系統(tǒng)界面三部分組成，完成相關(guān)子模塊的詳細(xì)設(shè)計(jì)。其中內(nèi)核層模塊系統(tǒng)包括文件行為檢測(cè)模塊、進(jìn)程行為檢測(cè)模塊、注冊(cè)表行為檢測(cè)模塊、網(wǎng)絡(luò)行為檢測(cè)模塊及內(nèi)核行為檢測(cè)模塊五個(gè)模塊。實(shí)現(xiàn)了對(duì)多種內(nèi)核級(jí)代碼隱藏行為、DLL鏈接庫(kù)、APC注入等惡意行為的檢