2)動(dòng)態(tài)分析

動(dòng)態(tài)分析是指在虛擬運(yùn)行環(huán)境中，使用測(cè)試及監(jiān)控軟件，.檢測(cè)惡意代碼行為，分析其執(zhí)行流程及處理數(shù)據(jù)的狀態(tài)，從而判斷惡意代碼的性質(zhì)，并掌握其行為特點(diǎn)。動(dòng)態(tài)分析針對(duì)性強(qiáng)，并且具有較高的準(zhǔn)確性，但由于其分析過(guò)程中覆蓋的執(zhí)行路徑有限，分析的完整性難以保證。惡意代碼一般會(huì)對(duì)運(yùn)行環(huán)境中的系統(tǒng)文件、注冊(cè)表、系統(tǒng)服務(wù)以及網(wǎng)絡(luò)訪問(wèn)等造成不同程度的影響，因此動(dòng)態(tài)分析通過(guò)監(jiān)控系統(tǒng)進(jìn)程、文件和注冊(cè)表等方面出現(xiàn)的非正常操作和變化，可以對(duì)其非法行為進(jìn)行分析。另一方面，惡意代碼為了進(jìn)入并實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊，會(huì)修改操作系統(tǒng)的函數(shù)接口，改變函數(shù)的執(zhí)行流程、輸入／輸出參數(shù)等，因此動(dòng)態(tài)地分析檢測(cè)系統(tǒng)函數(shù)的運(yùn)行狀態(tài)，數(shù)據(jù)流轉(zhuǎn)換過(guò)程，能判別出惡意代碼行為和正常軟件操作。

虛擬化技術(shù)是動(dòng)態(tài)分析中廣泛采用的一種技術(shù)，將惡意代碼放置在虛擬的計(jì)算環(huán)境中運(yùn)行，不僅可以很好的保護(hù)真正的分析系統(tǒng)，還能較好的解決變形惡意代碼的檢測(cè)問(wèn)題。經(jīng)過(guò)加密、混淆或多態(tài)變形的惡意代碼放人虛擬機(jī)后，將自動(dòng)解碼并開(kāi)始執(zhí)行惡意操作，由于運(yùn)行在可控的環(huán)境中，通過(guò)特征碼掃描等方法，可以檢測(cè)出惡意代碼的存在。