加壳技术是一种用于逃避静态检测方法的软件保护技术,加壳器（packer）是加壳技术的实现方式。被加壳器保护的软件被称为有壳软件,没有被加壳器保护的软件被称为无壳软件。有壳恶意软件是难以被基于无壳恶意软件的静态检测方法有效识别的,因此,在恶意软件检测过程中,有必要实现对有壳软件的有效识别,以便选择针对性的破解方法,提高对有壳恶意软件的识别精度。恶意软件开发人员为了提升恶意软件的破解成本,会使用独有/未知的加壳器保护恶意软件,即未知有壳软件,其他的有壳软件被称为已知有壳软件。如果一个软件是未知有壳软件,很有可能是新的恶意威胁,因此,在有壳技术识别过程中,实现对未知有壳软件的识别具有重要意义。本文的主要研究内容包括:1.针对以往研究中有壳软件类型识别任务存在识别精度低的问题,本文使用了具有区分性的函数调用图和文件属性特征,并提出了一种基于函数调用图和文件属性的2阶段有壳软件识别方法（2-Stage Packed software Identification method based on Function call graph and File attributes,2-SPIFF）。通过大量实验证明了2-SPIFF的有效性,2-SPIFF对有壳软件判别和加壳器类型识别的精度分别为99.80%和98.49%。2.针对以往研究中缺乏的未知类型有壳软件识别问题,本文提出了一种基于离群点识别的面向开放集的加壳器识别方法（Packer Detection method towards Open-Set base on Outlier Recognition,PDOSOR）。通过大量实验证明了PDOSOR对未知类型有壳软件判别的有效性,对未知类型有壳软件的召回率达到80.95%。3.将上述两种方法融合,本文实现了为一个带有图形界面的3阶段有壳软件识别工具（3-Stage Packed software Identification tool based on Function call graph and File attributes,3-SPIFF）。3-SPIFF将有壳软件识别分为3个阶段:阶段I有壳软件判别、阶段II未知有壳软件判别和阶段III加壳器识别。并对3-SPIFF进行了测试,测试结果表明3-SPIFF对多种软件、未知有壳软件和已知有壳软件都具有一定的识别效果。