计算机网络的广泛应用给我们带来了方便的同时,也产生了许多意想不到的问题,计算机安全就是其中一个突出的问题。各种恶意代码如病毒,蠕虫,木马等的广泛传播更是对个人用户及公司用户造成了巨大的威胁,杀毒软件的出现为这种情况提供了一个有效的解决方案。传统的杀毒软件基于特征字符串来匹配并发现恶意代码,但是这种方式现在面临越来越大的挑战,基于程序执行时的行为来动态检测恶意代码是一种新的思路,并不断被研究人员们发展和完善。基于行为的检测方式主要使用程序执行时调用的API作为数据来源,所以能有效地屏蔽恶意代码使用加壳、变形等技术所造成的影响,它使用恶意代码的特征行为(如自我复制行为)取代传统的特征字符串来进行匹配,从而能够改善特征库需要时常更新以及更新不及时的问题。我们对程序执行时的行为监控所能获取信息的详细和完备程度,以及我们采用何种方式使用这些信息来匹配特征行为,决定了动态检测对恶意代码的检测效果。本文在用户态API和内核态API两种数据来源之外,提出了底层驱动之间传递信息时使用的IRP数据包作为新的数据来源,尽可能的减少了因为恶意代码在用户层和内核层使用各种技术逃避监控而造成的监控信息的不完善的情况。针对目前监控手段不完善,获取信息不够完备的情况,本文简化了过去提出的一种检测方法(SRR),在误报率差别不大的情况下能够解决一类特定问题。实验结果证明IRP数据包结合新的检测方法,检测效果要远远好于内核API结合SRR的检测方法。实验也说明了使用IRP数据包作为数据来源的必要性以及新的检测方法只会造成有限的误报。