面向Windows操作系统的病毒、木马等常见恶意代码,一般都通过调用Win32API接口来完成各项操作。借助逆向工程或调试技术,反病毒工程师可以分析可疑程序的API调用及对应的参数信息,通过一定规则,提取其行为特征,从而判断可疑代码是否为恶意代码。如何将这种人工分析的方法自动化,已成为反恶意代码研究领域的一个热点。恶意行为自动分析技术主要有两个难点:第一,如何完整的提取恶意代码的API信息以及参数;第二,基于何种规则提取恶意代码行为特征。本文针对上述两个难点,主要完成下面的工作:一.以开源的全系统模拟器QEMU作为行为信息获取平台,通过分析和修改QEMU源代码,在QEMU内部动态监控可疑程序的运行,从而提取目标程序的API调用及参数信息;然后利用远程调用协议以及进程间通信与QEMU外部组件进行交互,导出数据报告,完成可疑程序的自动分析,此方法有效的避免了恶意代码的反调试及加壳技术。二.提出利用动态污点标记技术,对获取到的API调用进行关联的方法。首先以调用函数的句柄、字符串、缓冲区三种类型的参数以及网络数据作为污点源,然后利用QEMU动态二进制翻译原理,制定API层以及指令层的污点传播规则,通过记录污点源的传播路径,提取出操作相同资源的API调用之间的依赖关系,从而为提取可疑程序典型特征以及构建行为特征库提供了相关数据。实验证明,本文实现的工具完成了恶意代码的自动化分析,完整的提取了目标程序的典型特征,相比同类工具而言,具有动态实时监控以及调用函数间依赖关系自动构建的优势。