由于计算机网络的发展以及恶意程序编码水平的提高，传统的恶意程序检测技术的不足已经越来越明显，很难满足人们对信息安全的需求。基于行为的恶意程序检测技术是利用恶意程序的特有行为特征来检测程序恶意性的方法，它能很好地检测未知恶意程序。这种恶意程序检测技术可以很好地适应恶意程序逐渐呈现的新特点，无疑具有巨大的优越性和广阔的发展空间，应该在今后相当长时间内代表着恶意程序检测技术的发展趋势。本文从样本程序的API调用信息中提取出恶意程序行为特征，实现了一个基于行为特征的恶意程序检测与分类系统。本文从系统的需求出发，设计了系统的体系结构和各个模块的功能接口，并对系统中的系统管理与调度模块、预处理与静态分析模块、部分动态分析模块和部分检测分类模块的内容进行了实现。其中系统管理和调度模块负责对样本文件的管理和样本分析过程中各个功能模块的调度；预处理与静态分析模块负责将用户导入的粗糙的样本处理成系统可以直接分析的样本，并在不运行样本的情况下提取其静态文件信息；动态分析模块中使用QEMU作为样本运行的沙盒环境，并在QEMU的虚拟机监控层采集样本的API调用信息，解决了传统的API hook机制捕获API的不足；检测分类模块中采用决策树算法来构建分类器，模拟了智能的决策过程并有效解决了多分类的问题。此外，本文还从软件工程的角度对系统的用户交互和数据库进行了规范化的设计与实现，并且详细描述了数据在系统内部的逻辑流向和逻辑变换过程。通过大量的恶意程序样本对系统进行测试的结果表明，本系统具有较高的分类准确率和较低的误报率，且能快速生成未知程序行为报告提供给反病毒分析人员进一步深入分析。