通过对互联网的监测发现,U盘已成为病毒和木马程序传播的主要途径之一。在已经发现的具有重大影响且造成严重损失的恶意代码中,有很大一部分恶意代码通过可移动存储设备传播或者窃密。现阶段在恶意代码检测方面存在的问题是：反病毒软件主要针对大众用户,对利用可移动存储设备传播或者窃密的恶意代码的检测主要是基于对已知恶意代码的特征检测,对利用可移动存储设备传播或者窃密的特定未知恶意代码检测能力较弱。在恶意代码追踪溯源方面存在的问题是：已有的恶意代码追踪技术主要是基于对网络数据包的分析,有很大的局限性。本文研究了利用可移动存储设备传播或者窃密的特定恶意代码的攻击技术原理和相应的检测方法。通过对追踪溯源案例的分析,提出一个将自动提取具有追踪溯源价值的特征信息与追踪数据库关联查询的追踪溯源方法。本文通过针对“震网”病毒、“火焰”病毒和“U盘杀手”等一系列恶意代码与卡巴斯基对Winnti的追踪溯源案例进行深入分析,提出了通过将内核监控、PE文件深入分析与追踪数据库相互结合,形成一个针对利用可移动存储设备传播或者窃密的特定恶意代码检测、分析和追踪于一体的完整防御体系平台。最后通过实验验证该系统能够检测到利用可移动存储设备传播或者窃密的特定木马的所有文件操作行为；相对于现阶段反病毒软件,该系统能够有效检测未知的特定恶意代码,并实现自动提取具有追踪溯源参考价值的相关信息。