分析程序是否存在恶意行为是保护用户信息安全的有效措施之一。基于指令序列的恶意行为分析技术作为目前主流的恶意行为检测手段,它通过收集程序运行时的指令控制流信息,还原程序真实的运行轨迹,识别程序的行为特征。然而,指令流采集和还原执行轨迹仍存在以下主要问题:一方面,高性能开销的指令流采集系统与真实用户环境中程序运行存在巨大的时长差,易被恶意程序发现并产生逃逸行为;另一方面,记录过程采集的无效数据给还原过程带来了困难。设计了基于指令序列的数据预处理及语义提取系统,利用Intel PT（Intel Processor Trace）硬件部件特性,对程序运行产生的指令控制信息进行高效低耗地采集并精确还原执行流程。首先,基于虚拟化技术,对虚拟机中的程序运行数据进行采集;其次,基于Intel PT过滤机制,对目标范围内运行的数据进行收集,基于CPL（Current Privilege Level）过滤机制,对非根指令执行的信息进行采集,基于CR3过滤机制,将采集范围限制于目标进程执行的指令,基于IP（Instruction Pointers）过滤机制,采集加载的目标镜像范围内的执行信息;此外,通过虚拟机驱动程序监控进程创建和删除以及镜像的加载,以hypercall的方式将捕获的目标进程和镜像信息传递给宿主机。最终,将采集的压缩数据包解析出数据后,结合反编译工具还原程序执行的控制流程。针对系统的功能和性能进行了测试,并与纯虚拟机系统和Intel PT全系统记录方式进行了对比。实验结果表明,基于指令序列的数据预处理及语义提取系统的性能开销低于10%,并且能准确还原程序执行的控制流程。