网络环境随着技术发展变得越来越复杂,各类恶意代码层出不穷,对抗恶意代码已成为计算机安全研究的主要内容之一。同时,在网络取证及信息对抗中,恶意代码作为一种辅助手段,正在发挥积极作用。因此,研究恶意代码伪装自身所使用的代码迷惑技术,具有重要的理论意义和实用价值。结合代码迷惑技术的发展现状,阐述了控制流迷惑、重构可移植执行体文件、代码反特征检测等与代码迷惑相关的重要概念,分析了两种典型的面向可执行文件的代码迷惑方法,说明了这些方法依据的理论及迷惑机理,指出了它们存在的不足。在此基础上,探讨性地提出了一种基于压缩加密及多态变形的CEP(Compression Encryption and Polymorphism)代码迷惑方法,给出了其中涉及的三个关键技术:针对原始文件代码段使用压缩加密进行改造;使用基于Hash值动态查找的方法加解密原始文件的导入表;利用多态变形技术改造加载部分最终实现整个文件的改造。其中压缩采用的是一种基于LZMA压缩引擎的压缩方法,并使用与随机值进行异或的方法保护数据,在保证压缩性能的同时,兼顾了保密性。导入表处理,使用移位异或Hash值加密导入函数名,于解密时动态查找匹配Hash值相等的函数,以此迷惑检测软件。分析了多态引擎的应用场合,解析了BPE32多态变形引擎的工作模式,在CEP代码迷惑方法中采用了该引擎实现多态变形。为了验证CEP代码迷惑方法的有效性,基于该方法的处理流程,设计并实现了一个代码迷惑工具,给出了该工具的基本架构、功能描述、模块的划分以及多态变形的处理方式,其中重点说明了原始文件压缩模块、加载模块的具体实现。搭建了实验环境,进行了相关测试,测试结果表明,CEP代码迷惑方法对不同Windows平台具有普适性,经该方法处理后的恶意代码能够躲避主流检测软件的查杀,具有一定的实用价值。