2)動態(tài)分析

動態(tài)分析是指在虛擬運行環(huán)境中，使用測試及監(jiān)控軟件，.檢測惡意代碼行為，分析其執(zhí)行流程及處理數(shù)據(jù)的狀態(tài)，從而判斷惡意代碼的性質(zhì)，并掌握其行為特點。動態(tài)分析針對性強，并且具有較高的準確性，但由于其分析過程中覆蓋的執(zhí)行路徑有限，分析的完整性難以保證。惡意代碼一般會對運行環(huán)境中的系統(tǒng)文件、注冊表、系統(tǒng)服務以及網(wǎng)絡訪問等造成不同程度的影響，因此動態(tài)分析通過監(jiān)控系統(tǒng)進程、文件和注冊表等方面出現(xiàn)的非正常操作和變化，可以對其非法行為進行分析。另一方面，惡意代碼為了進入并實現(xiàn)對系統(tǒng)的攻擊，會修改操作系統(tǒng)的函數(shù)接口，改變函數(shù)的執(zhí)行流程、輸入／輸出參數(shù)等，因此動態(tài)地分析檢測系統(tǒng)函數(shù)的運行狀態(tài)，數(shù)據(jù)流轉(zhuǎn)換過程，能判別出惡意代碼行為和正常軟件操作。

虛擬化技術是動態(tài)分析中廣泛采用的一種技術，將惡意代碼放置在虛擬的計算環(huán)境中運行，不僅可以很好的保護真正的分析系統(tǒng)，還能較好的解決變形惡意代碼的檢測問題。經(jīng)過加密、混淆或多態(tài)變形的惡意代碼放人虛擬機后，將自動解碼并開始執(zhí)行惡意操作，由于運行在可控的環(huán)境中，通過特征碼掃描等方法，可以檢測出惡意代碼的存在。