2)動態分析

動態分析是指在虛擬運行環境中，使用測試及監控軟件，.檢測惡意代碼行為，分析其執行流程及處理數據的狀態，從而判斷惡意代碼的性質，并掌握其行為特點。動態分析針對性強，并且具有較高的準確性，但由于其分析過程中覆蓋的執行路徑有限，分析的完整性難以保證。惡意代碼一般會對運行環境中的系統文件、注冊表、系統服務以及網絡訪問等造成不同程度的影響，因此動態分析通過監控系統進程、文件和注冊表等方面出現的非正常操作和變化，可以對其非法行為進行分析。另一方面，惡意代碼為了進入并實現對系統的攻擊，會修改操作系統的函數接口，改變函數的執行流程、輸入／輸出參數等，因此動態地分析檢測系統函數的運行狀態，數據流轉換過程，能判別出惡意代碼行為和正常軟件操作。

虛擬化技術是動態分析中廣泛采用的一種技術，將惡意代碼放置在虛擬的計算環境中運行，不僅可以很好的保護真正的分析系統，還能較好的解決變形惡意代碼的檢測問題。經過加密、混淆或多態變形的惡意代碼放人虛擬機后，將自動解碼并開始執行惡意操作，由于運行在可控的環境中，通過特征碼掃描等方法，可以檢測出惡意代碼的存在。