该研究从行为心理学视角出发，系统分析恶意软件开发者的编码习惯与认知风格。研究者收集了大量泄露的恶意软件源代码，并与精心筛选的良性开源软件代码进行比较。通过静态应用安全测试（SAST）和多种软件度量指标（如代码行数、圈复杂度、注释密度、函数长度、抽象机制使用频率等），结合认知心理学和犯罪学理论，解释代码结构差异背后的行为含义。研究发现：恶意软件代码通常更短、注释更少，每个函数的圈复杂度更高，而类、闭包等抽象机制使用显著减少；漏洞类型上，恶意软件包含更多良性代码通常避免的安全问题，表明开发过程缺乏安全投资。这些模式暗示恶意开发者更注重快速实现、操作隐蔽和规避检测，而非代码长期可维护性。但度量数据显示，恶意代码与良性代码的差异尚不足以作为唯一的区分特征。本研究证明，定量代码分析可作为行为信号和战略选择的代理，为行为网络安全研究提供新方法，并为犯罪者行为画像的研究奠定基础。