随着互联网技术的快速发展,恶意代码变种和新型恶意代码呈现爆发式增长,互联网安全问题日趋严重。因此,恶意代码遏制技术的研究意义重大,恶意代码分析技术是恶意代码遏制技术中的一项关键技术。通过分析恶意代码的数据和行为,可以生成唯一标记该恶意代码的特征,使用该特征可以快速遏制恶意代码。恶意代码分析人员面对的是二进制程序,对其的分析技术主要有两类:静态二进制分析技术和动态二进制分析技术。在恶意代码分析和反分析的对抗中,静态二进制分析技术的应用限制越来越大,现今主要采用动态二进制分析技术。目前的动态二进制分析技术有指令模拟器、程序调试、程序沙箱、虚拟机软件。指令模拟器采用软件模拟CPU来进行指令执行,运行效率极低;程序调试需要分析人员的全程参与,无法实现分析的自动化;程序沙箱强制隔离资源,容易被检测到,在检测到沙箱后恶意代码会立即停止恶意行为;虚拟机软件解决了指令模拟的效率问题,但由于面向的是CPU指令,因此虚拟机软件无法针对具体程序进行监控分析。针对上述问题,本文提出了一种具有较高自动化程度的恶意代码虚拟执行分析方法。具体的说,本文提出将指令动态编译和指令本地执行相结合,实现对恶意代码程序指令的虚拟执行,在此基础上通过脚本文件实现对程序指令自动化监控分析方式的控制。本论文的主要研究工作如下:1.深入研究现有各种类型恶意代码的攻击技术,分析现有恶意代码二进制分析技术和现有分析软件存在的缺陷;2.详细讨论了基于指令动态编译的恶意代码虚拟执行分析系统(即BinMount原型系统)的设计方案;3.对原型系统模块的设计和实现进行了详细说明,包括脚本解析、指令解析、指令编译、指令监控分析、系统调用监控分析、系统回调监控等;4.对原型系统进行了相关测试,结果表明BinMount原型系统达到了预期的设计目标。