_{摘  要  在网络安全中，恶意软件对系统和应用程序的破坏已经逐渐占了很大的比例，恶意软件的行为分析技术也在与恶意软件的斗争中不断地深入和发展。在本文中，致力于利用CPU强大的硬件虚拟技术，Intel VT技术、将恶意软件的运行完全置于一个虚拟化的操作系统内，从而对其行为进行分析，而不会对真实系统造成任何的负面效果。}

_{关键词 恶意软件；虚拟化技术；动态分析}

_{1     概述}

_{近几年，随着逆向工程技术的发展，通过静态逆向配合动态调试，已经能够很好的对恶意软件的行为进行剖析。但是，恶意软件的作者也在这种逆向与反逆向的斗争中逐步采取更多的措施来防范恶意软件的内部工作机制被轻易的揭露，如通过反调试技术对抗动态调试，代码混淆和加壳技术对抗静态逆向等。而更加强大的是恶意软件可以通过代码动态判断自身的运行环境，从而改变程序的执行流程，这使得在虚拟机中对恶意软件的行为进行记录变得愈加困难。}

_{因此，在本文中，我们对恶意软件的行为采取一种透明的、外部的方法来进行分析。创造这种方法的灵感来自于让恶意软件的行为在安全研究者的眼中变得透明，而且这种方法应该不能让恶意软件的检测机制发现，而导致不可测的分析结果。简而言之，这种方法就是制造一个运行环境，使得其不被恶意软件发现，而且还能够完全的记录下恶意软件的执行步骤，从而达到我们的目的。本文的方法利用如今逐渐强大的硬件虚拟化技术（以Intel VT技术为例），完全的从硬件层出发，来虚拟出一套置身于当前操作系统之外的分析运行环境，从而避免了已有的分析工具易被恶意软件检测到的缺点。}