随着互联网的快速发展,病毒问题已经成为信息安全领域最严重的威胁之一。传统的特征码扫描技术是检测已知病毒最有效、最易于实现的技术,在反病毒领域得到了广泛应用。但是特征码扫描技术需要人工分析被感染文件、总结出病毒特征、记录当前病毒的特征码并存入病毒库,这使得它存在发现并判定病毒的周期较长、不具有检测未知威胁的能力、用户不及时更新病毒库就无法检测最新的病毒等缺陷。为了高效和快速的检测未知病毒、缩短从病毒产生到被发现的时间差,研究新的反病毒方法刻不容缓。本文首先以近邻分类法为理论基础,对未知病毒的检测技术进行了深入研究。针对目前基于行为分析的未知病毒检测方法需要运行可执行程序,会带来难以预料的安全隐患的问题,提出了一种基于Win32 API相关行为静态检测PE未知病毒的方法。该方法首先解析PE文件提取其调用的敏感Win32 API函数。其次,将这些API函数按相关的恶意行为分类并形成维数固定的特征行为向量存入数据库。再次,考虑到K-最近邻分类中样本文件与待分类文件的距离不同,其贡献度也不同,距离越近的样本越相似,所以将同类近邻加权的总和作为分类判定的依据之一,并根据正常文件与病毒文件类别间的判别熵值进行特征项精简,利用改进的K-最近邻算法(KNN)进行分类。提出将基于特征行为的未知病毒检测技术与特征码扫描技术相结合,并以此方法为核心设计了Win32 PE广义病毒检测系统。最后,通过病毒检测实验,验证了基于Win32 API相关行为静态病毒检测的可行性。实验和结果分析表明该方法具有较低的错误率和较高的命中率,可以有效检测未知病毒。基于行为分析的未知病毒检测引擎与特征码扫描引擎相配合构成的多杀毒引擎,能够在特征码病毒库未及时升级的情况下,防御未知病毒,提高反病毒产品的病毒检测能力,为后续病毒检测的研究提供参考。