恶意软件的行为探测一直以来都是恶意软件检测的最核心的内容。通过检测恶意软件所有的行为模式,可以了解其工作流程,从而洞察恶意软件的内在逻辑。通常,发布的软件都会经过代码混淆,不容易直接通过静态分析探测出所有的行为逻辑。因此,对恶意软件进行动态分析就显得尤为重要。恶意软件动态分析系统的主要特点是方便快捷,且能够真实还原恶意软件在种种实际场景下的行为。在进行恶意软件动态分析之前,让恶意软件能够顺利地执行起来便成了恶意软件研究领域首要亟待解决的问题,配置网络环境,供应软件服务资源等一系列问题等待着研究者们去解决。本文关键的成果是针对恶意软件环境复现的问题,设计并实现了一个静态分析框架——Chipmunk,提供给软件安全分析者直观清晰的可视化静态分析结果,并获得本地运行配置文件;同时设计并实现了一个实验环境部署的上层系统——Conductor。该系统能够通过分析网络环境配置文件,方便快捷地构建出一个恶意软件运行的本地以及网络拓扑环境,并且能够借助高交互性代理,根据恶意软件的对外质询流量,指定网络拓扑中的组件,完成资源配给,在恶意软件的执行过程中,完善网络拓扑结构。本文的主要工作在于:一、恶意软件运行环境的需求提取。我们通过静态分析框架自动化分析恶意软件的静态层面的控制流与数据流,搭建初步可以运行的测试环境之后,设计了一款高交互性代理来监控恶意软件的逻辑和行为,通过对所有外发质询流量的截获与分析,知晓其执行过程中的实时所需外部资源,提供例如Web服务器,DNS,因特网等各种网络组件与网络服务,逐步地扩大和完善测试环境。二、恶意软件漏洞利用指纹检测。在工作一的基础上,将恶意软件后续一系列外发的流量视为该恶意软件进行特定漏洞利用的指纹,为了使得漏洞利用能够执行成功,从而观测到恶意软件的后续行为,我们需要检索已有的CVE列表,匹配相似指纹,在网络拓扑中添加并配置好具有该漏洞的系统的受害者主机。三、利用程序切片的方法,简化静态分析工作,依照控制流和数据流两个概念为线索,获得关键函数的触发路径和数据依赖。四、提供给用户统一的上层管理系统。为了能够实现在大规模的服务器集群上,任意节点或者任意节点上的虚拟机上面进行的资源配置或者网络拓扑的增删改,我们提供了一个上层的管理系统Conductor,该系统屏蔽底层的技术实现,兼顾不同实现技术的差异性,将整个配置流程标准化,透明化。用户只需要调用标准接口,指定机器和服务信息即可。本文的工作能够帮助恶意软件分析人员快速搭建起恶意软件的持续可运行的实验环境,让恶意软件能够在合适的本地以及网络环境中,充分暴露自己的恶意行为,减轻了分析人员的工作负担。