近年来，恶意代码呈爆发趋势，并且采用代码混淆、入口点模糊等抗分析技术使得检测难度大大增加。大量研究表明，恶意代码静态分析存在“所见非所执行”缺陷，动态分析面临多路径发现难题。抗分析技术主要针对这些弱点采取相应手段阻碍分析过程，使得分析手段失效或使分析时间过长而放弃。本文在分析抗分析技术的实现特点的基础上，提出了基于API依赖关系的恶意代码相似度分析方法，识别恶意代码变种。首先，改进反汇编过程中的过程识别算法以识别隐式跳转，进而消除相关混淆，提高反汇编的准确率。第二，针对恶意代码采用EPO(Entry PointObscuring，入口点模糊)技术增加多路径分析难度的问题，设计并实现EPO扫描器判断可执行文件是否存在EPO式感染，获取恶意代码实际入口点，然后重点分析恶意代码实现自身功能的相关路径，增强动态分析的目的性；第三，针对传统SCDG（System Call DependenceGraph，系统调用依赖图）不能很好地消除API噪声、API重排等API特征混淆的问题，提出了由API控制依赖关系和四类数据依赖关系组成的SCDG程序行为描述方法，并设计了基于API依赖关系的恶意代码相似度分析框架。在该框架中，分别通过数据依赖关系分析和控制依赖关系归一化消除SCDG中的API噪声和API重排，提高了恶意代码相似度分析的准确性。上述方法已在项目组开发的逆向分析工具中得到应用，测试结果表明：与同类分析方式相比，改进的反汇编算法对隐式跳转和EPO有较好的识别效果，恶意代码相似度分析框架能更精确地识别恶意代码变种。