长期以来,恶意代码一直是计算机安全领域的热点问题,新形势下的恶意代码制作技术更加成熟,网络中每秒都会产生大量恶意代码,其中多数都是采用多态变性技术生成的变种;与之前的样本相比,这些恶意代码的传播与破坏能力都有所增强。因此一个高效的恶意代码分类系统可以使专业分析人员专注于新产生的恶意代码而不是已知家族的变种,以此提高工作效率;而对普通用户来说,一份包含行为信息的报告能帮助他们更好地了解未知程序。在这种契机下,本文主要研究恶意代码的行为特征提取技术和基于行为特征的恶意代码分类方法:在一个安全、高效、透明的恶意代码分析环境中提取其行为特征,在此基础上运用分类方法和已知的分类信息对恶意代码进行高效而准确的分类,最终向用户提供包含行为和分类信息的报告。本文首先详细调查了恶意代码的实现原理和相关技术,指出这些技术对不同分析方法造成的影响;然后根据资源的分类深入考查了恶意代码中的代表性行为并建立一种行为特征模型与相应的匹配规则,这种模型具有抵御无关系统调用插入、等价行为代换等混淆技术干扰的特点;接着在对比和总结恶意代码现有分析技术的基础上,通过扩展基于硬件模拟的仿真器QEMU设计并实现了一个的恶意代码行为特征提取系统,它通过捕获资源对象及其相关操作并对其运用行为匹配规则来提取恶意代码的行为特征,能够满足恶意代码对分析环境的安全性、高效性、透明性需求;综合本文描述的应用环境,利用对分类规模不敏感的哈希方法缩小待比较分类的范围,实现对恶意代码的分类操作并研究分类特征的调整方法,在分析分类方法参数对结果精度、召回率和计算量影响的基础上,通过综合比较确定位置敏感哈希的相关参数。最后本文对实现的系统与方法进行了实验与测试,与现有方法的对比显示本文描述的方法能够以较高的精度和召回率实现对已知样本的分类,分析环境亦能够提取出有意义的行为信息,基本达到了预期的目的。本文的最后对全文进行了工作总结,指出了现有系统与方法还有待完善的地方,并对接下来的研究工作进行了展望。