自从世界上首例手机病毒“VBS.TimoFonica”于2000年6月发现以来,移动终端恶意代码的数量在不断的增加,危害性不断增强。目前移动终端恶意代码发作时,能够破坏系统软硬件设备,窃取机主隐私信息,并可通过自动定制SP服务或拨打声讯电话来进行恶意扣费。这给移动终端系统带来了严重的安全威胁,给移动终端的使用者造成极大的经济损失。　　 目前针对移动终端安全方面的相关学术研究还处于初级阶段,主要表现为:恶意代码样本来源单一,收集方式大都来源于受感染个体的反馈;恶意代码行为分析多依赖于专家经验,常采用的系统快照比对的方式易带来关键信息的丢失。　　 本文在调研移动终端安全相关工作的基础上,借鉴了针对PC安全的相关经验,针对现有工作存在的不足,深入研究了移动终端恶意代码的自动收集和检测技术。具体工作包括:　　 1、研究移动终端恶意代码通过蓝牙、MMS、WiFi等接入方式的传播原理,模拟接入方式中所存在的漏洞来构建蜜罐系统,与恶意代码进行交互,进而收集。　　 2、研究针对Windows CE平台的API Hook技术以及DLL注入技术,研究如何通过这两种技术来构建Sandbox,进而实现对指定进程的API调用的劫持,记录API调用以及参数信息,最终获取指定进程的API调用序列。　　 3、研究基于上述API调用序列行为特征的恶意代码检测方法。　　 基于以上研究工作,本文实现了移动终端蜜罐系统、WinCE平台沙盒和行为规则匹配检测算法。实验表明,蜜罐系统能够自动收集通过蓝牙、MMS传播的移动终端病毒;WinCE沙盒能够获取程序执行时的API调用序列,能够详细客观的反映程序细粒度的行为,可用来分析WinCE程序;行为特征匹配检测算法不仅能够检测原始病毒和加壳病毒,而且对于病毒变种具有一定的识别能力。　　 本文工作得到了教育部高等学校科技创新工程重大工程培育资金项目(707001)的资助,项目名称:移动终端病毒检测技术。