随着计算机病毒数量的增多以及变形病毒、新型病毒的千变万化着实给特征码检测等传统技术带来了严峻的挑战:特征码技术只能使得“杀毒”永远落后于病毒,对未知病毒即病毒库中没有特征的病毒几乎不能检测。人们一直在寻找一种根本的、普遍适用的病毒查杀方法,以有效应对每日俱增病毒的数量。行为分析由于具有识别未知恶意代码的能力,从而成为本领域的研究热点。基于行为分析的安全软件具备自我学习功能,能够自动扩展提高自身的防护能力。基于行为分析的安全软件密切跟踪所在系统的行为模式,确定并记录下系统的正常模式。当实际系统行为发生的变化超过设定的阈值时,安全软件就会分析发生异常的原因以判断是否遭到恶意攻击或病毒感染,并根据情况采取相应措施。确定病毒的行为特征是行为分析之前必需的准备,本文根据人工反病毒经验归纳了病毒在注入、安装和运行时的35种行为特征,以及由这些行为所组成的行为特征向量的形式,并介绍了捕获这些行为的方法。同时,考虑每日海量新增病毒样本需要分析的需求,本文基于虚拟机控制技术设计并实现了海量样本自动化行为分析系统,该系统属于一种联机处理系统,从实际上解决了人们对海量病毒分析的需求。本文基于样本程序的行为数据构建分类算法,并结合训练样本的多个属性的取值构建学习器,使得它能够对未知样本进行有效分类。同时,针对恶意代码的黑白检测和黑灰检测,分别提出最小距离分类器和AdaBoost分类器。本文使用上述两类分类器对黑灰样本进行了分类实验,证明了AdaBoost分类器算法在降低灰名单样本误报率具有良好的效果。