恶意代码给计算机系统带来了巨大的危害，特别是伴随着互联网的快速发展，恶意代码正朝着传播速度越来越快、波及范围越来越广、损失越来越严重的趋势发展，因此如何遏制恶意代码从而营造安全的计算机网络环境已经成为一个重要的研究课题。　　 全面分析并掌握恶意代码的运行机制是遏制恶意代码的前提条件。传统的恶意代码分析技术分为静态分析和动态分析两种。由于恶意代码编写技术的快速发展，特别是变形技术和反虚拟机技术的广泛使用，基于代码观察的静态分析技术和基于虚拟环境的动态分析技术已经难以全面掌握恶意代码的运行机理。　　 本文针对传统分析技术的不足，提出了一种基于层次化差异比较法的恶意代码分析技术。层次化差异比较法的核心思想是：将整个分析过程分为若干层次，运用不同的检测手段对各个层次的信息进行搜集，发掘各个层次的状态信息差异，分析差异产生的原因从而掌握恶意代码对系统的篡改、攻击、自我保护等行为机制。　　 本文的主要工作和贡献有：第一、分析了恶意代码的通用运行机制，并对各种恶意代码的恶意行为进行了总结；第二、对恶意代码经常攻击的系统内存、系统进程、注册表、文件系统等操作系统对象的相关理论知识进行了介绍；第三、提出了层次化的概念，将分析过程分为恶意代码入侵系统前的检测和入侵系统后的检测两个层次，再将恶意代码入侵系统后分为用户层检测和内核层检测两个层次，并给出了系统状态信息的搜集算法；第四、设计并实现了基于层次化差异比较法的恶意代码分析系统。