恶意软件的关键模块定位是逆向工程中的重要环节，然而目前大多数研究集中在判别程序是否恶意，少有研究对关键恶意模块进行定位，并且存在自动化定位难度高、定位过程难解释的问题.为此，本文提出了基于过程解释的恶意函数定位方法 Pimflo，从具体的内存信息出发进行恶意识别和定位. Pimflo利用动态沙箱对目标二进制进行内存取证，基于签名技术识别可疑行为，追溯其相关的进程调用和堆栈信息.通过反汇编目标程序生成控制流图（CFG），还原可疑行为调用链，追溯和定位恶意源函数.本文在VIRUSSHARE的100个样本上对Pimflo进行了评估，实验证明Pimflo的恶意函数定位准确率可达90.28%，其解释性和逻辑性优于基于统计的非标量现有框架，为恶意软件定位领域提供了更可靠的新方案.