互联网技术给人们的生活各个方面提供巨大便利,但另一方面也为恶意程序的产生和传播提供了方便,给信息系统造成严重的安全威胁。随着计算机系统虚拟化技术的发展,虚拟机(Virtual Machine,VM)的应用领域愈加广泛,利用虚拟机对恶意程序的检测技术已经成为当前的研究热点之一。本文基于虚拟机监视器研究程序行为的分析及检测技术。通过虚拟机监视器,获取程序运行时的虚拟机系统底层信息,从计算机系统资源域的角度综合分析程序行为,以此为基础检测恶意程序行为。本文首先分析QEMU及其相关技术,以及程序行为检测方法。其次本文研究基于QEMU的程序行为检测模型:基于QEMU对程序运行时的系统内存、内核基本事件、磁盘文件和网络信息等数据信息进行捕获并重构;采用C4.5算法建立决策树的方式对捕获及重构到的数据分析,以此判定程序是否存在恶意行为。基于该模型,本文最后设计与实现出对应的程序行为检测系统,并将其用于实际的程序行为检测。检测结果表明所提出的检测模型以及相应的检测系统能准确、有效地检测到程序中的恶意行为。