随着互联网技术和软件安全技术的不断发展,越来越多的恶意程序采用新型的反汇编干扰、反调试、指令混淆和特征隐藏技术,使得针对恶意程序的检测与识别愈加困难。传统的恶意程序静态检测技术,无法对抗恶意程序静态混淆和特征隐藏,而传统的动态检测技术,往往使用函数行为粒度特征,丢弃了汇编指令流粒度特征,造成提取特征单一、效果低下。本论文提出了一种基于无感知沙箱技术,捕获并提取恶意程序的行为特征和指令流特征,构建多模型融合分类器对恶意程序进行识别的方法。本论文首先介绍了基于Pin的无感知沙箱PinFWSandBox的设计与实现技术,然后通过将恶意程序在无感知沙箱中动态运行,利用二进制插装技术和汇编指令流快照重放技术,提取包括系统调用特征、指令流特征、指令序列相似度特征等多维特征,再分别使用朴素贝叶斯机器学习算法构建单模型分类器,并最终构建多模型融合分类器,用于进行恶意程序识别和分类。本论文研究设计的分类系统,具有高效率、高召回率、多用途、安全稳定等特点。针对恶意程序和随机非恶意程序分类测试结果,最终分类器测试结果达到了接近96%的分类准确率和高于98%的恶意程序召回率,同时算法在广义程序功能分类上,也取得了良好的效果。