在互联网的所有威胁中,恶意代码无疑危害最大。本文主要针对恶意代码行为的捕获。在恶意代码行为捕获方面,已有研究存在着若干问题:一是,分析环境容易被恶意代码检测出来,进而导致分析被回避;二是,获取的信息无法体现恶意代码的行为细节;第三,已有研究忽视对恶意代码运行时生成的进程、远程线程和Windows服务进行实时分析的研究。为此,本文的研究目的在于实现隐蔽、全面、自动化的恶意代码行为捕获。主要内容包括:首先,介绍了虚拟化技术及其相关概念。对恶意代码进行了概述;讨论了恶意代码分析的两种方法,即静态方法与动态方法。通过对这两种方法的分析,本文指出动态分析方法能够更好地完成对恶意代码的分析。重点研究了当前基于虚拟化的恶意代码行为捕获的主要技术,并阐述现有技术存在的问题;另外,分析了相关的研究项目,并指出这些项目存在的不足。其次,在上述研究的基础之上,设计并实现了基于虚拟化的恶意代码行为捕获系统。针对分析环境容易被检测出来的问题,利用基于虚拟化的隐蔽监视技术,尽可能提高分析的隐蔽性。提出了多目标实时分析技术,使该系统能够对恶意代码运行时生成的进程、远程线程和Windows服务进行实时分析。另外,采用了系统调用抽象技术和细粒度行为捕获技术,使得获取的恶意代码行为信息更为全面。接着,本文对行为捕获系统进行了测试,测试内容包括有效性测试、功能性测试和样本集测试。测试结果表明了该系统达到了预期的设计目标。最后,总结了本文的工作,并指出了行为捕获系统需要进一步完善的地方以及今后的研究方向。