1.針對(duì)計(jì)算機(jī)病毒的動(dòng)態(tài)行為捕獲方法，其特征在于，包括以下步驟：

(1)將API的調(diào)用設(shè)置為EXCEPTION_DEBUG_EVENT調(diào)試事件，由系統(tǒng)內(nèi)核捕獲這個(gè)事件后通知調(diào)試器；

(2)通過(guò)設(shè)置捕獲引擎并在確定對(duì)指定樣本進(jìn)程進(jìn)行分析之后，檢查被分析樣本進(jìn)程加載了哪些系統(tǒng)DLL，然后根據(jù)工作目錄下的HOOKDLL的導(dǎo)出函數(shù)表，在被分析樣本進(jìn)程中確定API調(diào)用入口，同時(shí)在這些確定的API調(diào)用入口處設(shè)置調(diào)試斷點(diǎn)，捕獲程序執(zhí)行到調(diào)試斷點(diǎn)便會(huì)發(fā)生中斷事件；

(3)系統(tǒng)內(nèi)核通過(guò)捕獲工具注射一個(gè)動(dòng)態(tài)鏈接庫(kù)至惡意代碼進(jìn)程空間，用這個(gè)動(dòng)態(tài)鏈接庫(kù)來(lái)分析API的堆棧內(nèi)容。

2.根據(jù)權(quán)利要求1的針對(duì)計(jì)算機(jī)病毒的動(dòng)態(tài)行為捕獲方法，其特征在于，當(dāng)樣本進(jìn)程執(zhí)行到調(diào)試斷點(diǎn)處會(huì)產(chǎn)生中斷事件，通過(guò)調(diào)試子系統(tǒng)獲得斷點(diǎn)發(fā)生時(shí)被分析樣本進(jìn)程的執(zhí)行環(huán)境，并將中斷時(shí)的堆棧參數(shù)送至HOOKDLL中相應(yīng)的處理函數(shù)進(jìn)行具體分析。

3.根據(jù)權(quán)利要求1的針對(duì)計(jì)算機(jī)病毒的動(dòng)態(tài)行為捕獲方法，其特征在于，所述捕獲引擎的輸入項(xiàng)包括樣本進(jìn)程、捕獲引擎的所在目錄和目錄下所有HOOKDLL名及HOOKDLL導(dǎo)出函數(shù)表。

4.根據(jù)權(quán)利要求1的針對(duì)計(jì)算機(jī)病毒的動(dòng)態(tài)行為捕獲方法，其特征在于，所述捕獲引擎在捕獲到調(diào)試中斷之后，會(huì)調(diào)用HOOKDLL中相應(yīng)的函數(shù)進(jìn)行處理，這些函數(shù)采用相同的參數(shù)表，這個(gè)參數(shù)表就是行為捕獲引擎的輸出，定義為T(mén)racerFunc函數(shù)指針，所述TracerFunc函數(shù)指針具體定義為typedef?VOID(*TracerFunc)(DWORD?TraceMode，CTraceInfo??*pInfo，API_TRACE_INFO&pApiInfo，DWORD*pdwRet，ADV_CONTROL*pControl)；該接口由所有的HookD11處理函數(shù)共享。

5.根據(jù)權(quán)利要求1的針對(duì)計(jì)算機(jī)病毒的動(dòng)態(tài)行為捕獲方法，其特征在于，所述捕獲引擎的主要部分是一個(gè)循環(huán)，處理來(lái)自內(nèi)核的調(diào)試事件，循環(huán)體內(nèi)先等待一個(gè)調(diào)試事件，然后處理之，最后將控制權(quán)交還給調(diào)試服務(wù)器。

6.根據(jù)權(quán)利要求1的針對(duì)計(jì)算機(jī)病毒的動(dòng)態(tài)行為捕獲方法，其特征在于，所述捕獲引擎關(guān)注EXCEPTION_DEBUG_EVENT調(diào)試事件的發(fā)生，每次設(shè)置了斷點(diǎn)的Win32API一旦被調(diào)用，就會(huì)觸發(fā)一次EXCEPTION_DEBUG_EVENT調(diào)試事件；每調(diào)用一次設(shè)置了斷點(diǎn)的Win32API，捕獲引擎查找這些動(dòng)態(tài)鏈接庫(kù)是否存在有同名函數(shù)，一旦發(fā)現(xiàn)即轉(zhuǎn)入HOOKDLL動(dòng)態(tài)鏈接庫(kù)。

7.根據(jù)權(quán)利要求6的針對(duì)計(jì)算機(jī)病毒的動(dòng)態(tài)行為捕獲方法，其特征在于，所述捕獲引擎開(kāi)始工作的時(shí)候，啟動(dòng)要調(diào)試程序的新進(jìn)程或者掛接到一個(gè)已運(yùn)行進(jìn)程上，此時(shí)啟動(dòng)調(diào)試接口的服務(wù)器端；使用WaitForDebugEvent函數(shù)等待調(diào)試服務(wù)器端的調(diào)試事件的發(fā)生；根據(jù)事件進(jìn)行相應(yīng)的處理；最后使用ContinueDebugEvent函數(shù)請(qǐng)求調(diào)試服務(wù)器繼續(xù)執(zhí)行被調(diào)試進(jìn)程，以等待并處理下一個(gè)調(diào)試事件。