随着互联网技术的不断发展和应用范围的不断扩大,信息安全越来越成为政府,企业和个人所关注的焦点。近年来,以病毒、蠕虫、木马、后门和rootkit等为主要形式的恶意程序正成为这一范畴内的主要研究课题。如何应对日益泛滥的恶意程序并有效地检测出它们的样本是所有研究里的重中之重。新型的恶意程序除了具备攻击性与破坏性等传统特性外,更开发出了多样性,隐蔽性和自我保护性等新型特性,并以此获得了更为强大的攻击力和生存能力。如何有效地瓦解恶意程序所使用的代码迷惑,加壳以及反调试技术已成为公认的难点。与此同时恶意程序的检测技术也呈出现不断发展的趋势,出现了动态特征码扫描、虚拟机查毒、行为特征识别等方法,但是这些方式方法中最成熟,利用也最广泛的还是传统的基于特征码的检测技术。因此,如何有效地对抗目前恶意程序所拥有的新型特性,准确地检测出某个程序是否符合恶意程序的规范,并弥补当前检测技术的不足成为了本文的研究目的。为达到以上目标,本文提出了一个基于动态分析的行为检测平台,通过设置隐蔽的监视断点来捕获二进制程序运行时所执行的各种行为,同时广泛地调研当前恶意程序的行为规范来构造行为规则库,从而通过规则匹配的方式来判定该程序的行为是否符合某些恶意行为的标准,最后对该程序的威胁度进行评定并输出综合结论。该平台最重要的特性就是能够有效应对当前恶意程序所使用的隐蔽和反检测技术,针对恶意程序的多样性,隐蔽性和自我保护性提出相应的检测方案。本文的主要工作内容如下:1.重点研究当今恶意程序所普遍使用的反检测技术,从而对症下药;2.从静态分析与动态分析两方面来介绍目前检测恶意程序的主要方法,提出每种方法的局限与不足并尝试给出可能的解决方案;3.针对当前恶意程序所使用的技术和安全检测所存在的不足给出基于动态分析二进制程序行为的检测方案,该方案继承了动态检测的优点并能在一定程度上弥补其不足;4.给出二进制程序行为检测分析平台的概要设计和详细设计,描述整个平台的运行流程,并详细介绍平台子系统与功能模块的作用与实现方式;5.最后对本文所提出的平台进行实验和测试,分析其优点及尚存的不足并指出未来的研究方向。实验证明该平台能够有效地检测和分析各种恶意程序,平台输出的分析结果可以作为评价这些程序的重要标准。