当前恶意软件数量呈井喷式增长,但其中的大部分并非新生的恶意软件,而是在原始恶意家族的基础上进行一系列异构变换而产生的变种。在这些异构变换处理中,模糊化是较为常用的方法,本文将重点对其进行讨论。模糊即是故意混淆代码,通过掩盖其目的或者它的逻辑来防止篡改,阻止逆向工程。代码模糊技术被大量应用于恶意代码中。通过对现有恶意代码进行修改,恶意代码的字节序列被模糊化,基于签名的原始静态检测技术越发难以满足反病毒检测工作。本文在大量分析恶意程序样本的基础上,深入研究恶意代码现有的分析技术,提出了基于目标程序Windows API流程图的恶意代码检测系统(本文称之为ACS),并给出实验分析结果。本文主要完成了以下工作：1.提取和构建特征知识库。对样本集进行分析得到行为报告,对样本进行反汇编,然后提取出汇编命令中调用的Windows API,并将调用集映射为二元组,再构建二元组矩阵,并以此矩阵作为其特征。将所得到的样本的Windows API调用信息添加到数据库,在这步中对API调用信息进行映射处理,将调用信息抽象化为对象和操作共同标识的二元组,构建恶意样本特征知识库。2.基于目标程序Windows API流程图的恶意代码检测方法的设计与实现。本文提出的检测方法提取了程序的语义层面的信息,一定程度地克服了原始的静态检测方法的缺陷,与基于字节序列签名反病毒检测技术相比具有一定的优势。