1.基于Win32平臺下病毒行為的自動化分析系統，該系統由數據模塊、控 制模塊、運行模塊以及數據庫組成，所述控制模塊工作于物理機環境中，所述 運行模塊工作于由虛擬機形成的虛擬環境中；其特征在于，所述數據模塊包括 樣本數據模塊、自動入庫模塊以及行為數據模塊，所述樣本數據模塊包括有病 毒樣本數據模塊以及合法程序樣本數據模塊，所述自動入庫模塊是用于將大量 樣本的相關信息準確入數據庫，通過訪問這些數據庫記錄，可以使得整個聯機 系統中的每臺捕獲引擎都能夠準確獲取每個樣本的路徑信息并能訪問樣本庫所 在的物理機，所述樣本庫是用來放置樣本的文件服務器，所述行為數據模塊包 括有用來將捕獲的病毒樣本行為數據記入數據庫中并進行統計、并轉化成易于 建模的二維表的病毒樣本行為數據模塊和用來將捕獲的合法程序樣本行為數據 記入數據庫中并進行統計、并轉化成易于建模的二維表的合法程序樣本行為模 塊，所述樣本數據模塊通過自動入庫模塊連接行為數據模塊；所述運行模塊包 括捕獲引擎模塊和HOOKDLL模塊，所述捕獲引擎模塊與HOOKDLL模塊是協同 工作在虛擬環境下捕獲病毒的行為，并寫入XML文件回傳至控制模塊，所述 HOOKDLL模塊負責接收捕獲引擎模塊捕獲的函數及其實際參數，并對實際參數 進行具體分析，將分析的結果進行格式化輸出到數據庫或文件中；所述控制模 塊用于控制虛擬機的運行，并負責提取病毒樣本，所述控制模塊連接樣本數據 模塊以及行為數據模塊，并且控制運行模塊中的捕獲引擎模塊，所述控制模塊 連接數據庫，從對象程序表中取得未分析的樣本文件；所述控制模塊啟動虛擬 機，并登陸虛擬機中的操作系統；所述控制模塊傳送樣本文件至虛擬機中的操 作系統，存放在虛擬機C盤根目錄下；所述控制模塊啟動捕獲引擎模塊并對樣本 的行為實施跟蹤，并將行為記錄在XML文件中；所述控制模塊在跟蹤完畢后， 關閉虛擬機，并將回傳的XML文件解析，其行為記錄存入數據庫的跟蹤事件數 據表。

2.根據權利要求1所述的基于Win32平臺下病毒行為的自動化分析系統，其 特征在于，所述捕獲引擎模塊根據工作目錄下的HOOKDLL對指定API調用入口 處設置調試斷點；所述捕獲引擎模塊通過操作系統調試子系統中獲取需要捕獲 的API調用事件及其參數；所述捕獲引擎模塊向HOOKDLL模塊中相應的處理函 數傳遞斷點發生處的堆棧信息。

3.根據權利要求1所述的基于Win32平臺下病毒行為的自動化分析系統，其 特征在于，所述HOOKDLL模塊將分析的結果進行格式化輸出的內容有兩種， Trace型即記錄函數調用的記錄而不關注其參數，Analysis型即把函數和參數進行 結合判斷后再記錄與函數相關的惡意代碼行為特征。

4.根據權利要求1所述的基于Win32平臺下病毒行為的自動化分析系統，其 特征在于，所述自動入庫模塊由文件檢測和數據庫操作兩個子模塊組成；所述 文件檢測子模塊對用戶輸入的信息進行校驗，判斷輸入數據是否正確，所述文 件檢測子模塊還根據輸入的參數信息，判斷是否進行數字簽名和文件格式檢測， 以及相關的DLL檢測；所述數據庫操作子模塊能夠對數據庫執行讀數據操作、 寫數據操作、更新數據操作。

5.根據權利要求1所述的基于Win32平臺下病毒行為的自動化分析系統，其 特征在于，控制模塊對數據庫具有如下互斥操作流程：

(1)當虛擬機啟動，首先控制模塊會向數據庫請求一個未被分析樣本的路 徑信息，對數據庫中對象程序表和跟蹤數據表中加X鎖，查詢對象程序表中的 istraced和Prog_id兩個字段的值，若istraced為false且Prog_id的值未在跟蹤數據表 中出現，則判斷該樣本未被分析過，并向控制模塊提交路徑信息；

(2)若控制模塊成功下載病毒樣本，控制模塊在跟蹤數據表插入一條新記 錄，并進行初始化操作，系統自動填入trace_id和prog_id兩個字段的值，字段 “istraced”設置為“true”；同時釋放對象程序表和跟蹤狀態表的X鎖；

(3)控制模塊解析虛擬機傳回來的含有病毒行為的XML文件，并記錄至數 據庫中的跟蹤事件數據表。