随着科学技术的不断创新,计算机病毒技术也越来越多样化。为了对抗变幻莫测的计算机病毒,反病毒技术也随之发展起来。目前已经存在多种先进的反病毒技术,如虚拟机技术、启发式代码扫描技术、主动内核技术等等。这些技术各有特点,但应用起来都存在一些缺陷。相对而言,计算机病毒技术领先于反病毒技术,因此如何及时快速地检测出完全未知的新病毒是目前需要迫切解决的问题。为解决这一问题,论文从程序语义层的角度对未知病毒的检测作了较为深入的研究,通过对Win32 PE病毒的分析,提出了两种检测计算机未知病毒的方法。一是基于稳定模型的检测方法,二是基于逻辑语义流图的检测方法。基于稳定模型的检测方法应用逻辑程序和稳定模型原理,根据总结出的PE病毒的传染机制,制定出符合要求的语义规则,然后构造目标程序的逻辑流图,利用逻辑流图实例化语义规则,最后求解目标程序的稳定模型。所求的稳定模型是一个答案集,根据答案集中元素及元素间关系就可以判断目标程序中是否含有病毒。基于逻辑语义流图的检测方法根据PE病毒传染机制的语义特征,构造其逻辑流图,形成病毒模式库。提取模式库中模式集与目标程序逻辑流图的节点集进行匹配,同时利用病毒程序和正常程序语义特征的差异性,达到检测病毒的目的。模拟实验选择4种病毒作为样本来确定阈值,并对80个正常PE文件和45个含PE病毒的文件进行检测,结果表明,选择合适的阈值可以有效检测PE病毒。