[发明专利]对软件程序集的本机图像进行防病毒检查的系统和方法

说明书

公开了一种用于对软件程序集的本机图像进行防病毒检测的系统和方法。实施例包括用于检测机器代码的恶意本机图像的方法，所述方法包括：接收所述机器代码的本机图像；识别父程序集，所述父程序集用于创建所述本机图像；确定所述父程序集是否对应所述机器代码的本机图像；和当所述父程序集不对应所述机器代码的本机图像时，确定本机图像是恶意的。

技术领域

本公开大体涉及计算机科学领域，更具体地，涉及对软件程序集的本机图像进行防病毒检查的系统和方法。

背景技术

目前，可安装在用户装置(例如，个人计算机、智能电话、平板电脑等)上的软件应用显著地增长，且可由这些应用创建的文件的数目也指数地上升。在应用的安装和运行时由软件应用创建的某些文件是唯一的，即，文件可作为单一副本存在。很难在不执行其内容的详细分析的情况下分类此类文件。

通常，这些文件可为机器代码中的父程序集的图像(即，本机图像)，这是.NET技术的一部分。.NET应用可使用一定数目的程序集一起创建，其中程序集为由公共语言运行(CLR)环境辅助的二进制文件。.NET程序集包括以下元数据元素：

·可移植执行(PE)文件标头；

·CLR标头；

·公共中间语言(CIL)代码；

·在各种类型的程序集中使用的元数据(例如，类别、接口、结构、列举(enumerations)、委托)；

·程序集的清单；以及

·额外的内置资源。

大体上，PE标头识别程序集可在系列的操作系统中加载和执行。PE标头还识别应用(例如，控制台应用、具有图形用户接口的应用、代码库等)的类型。

CLR标头构成可支持所有.NET程序集以便它们可在CLR环境中维护的数据。CLR标头包含诸如标记、CLR版本、入口点(例如，在特定情况下，开始函数Main()的地址)，这允许执行环境确定管理的文件的组成(即，包含管理代码的文件)。

各个程序集均包含CIL代码，其为并非依赖处理器的中间代码。在执行期间，CIL代码由JIT(准时，即，动态编译)以实时模式编译成对应于特定处理器的要求的指令。

在任何给定程序集中，还存在完整描述存在于程序集内的类型(例如，类别、接口、结构、计数、委托等)以及程序集参照的外部类型(即，其它程序集中描述的类型)的格式的元数据。在可执行环境中，元数据用于确定二进制文件中的类型的位置，以将类型置于存储器中，且简化类型的方法的远程调用的进程。

程序集还可包含清单，其描述组成程序集的各个模块、程序集的版本以及还有当前程序集参照的任何外部程序集。清单还包含指定程序集的版本和身份的程序集的要求所需的所有元数据，以及确定程序集的范围和允许链接至资源和类别所需的所有元数据。下表示出了包含在程序集的清单中的数据。前四个元素(程序集名称、版本号、语言和区域参数，以及强名称数据)构成程序集的身份。

任何.NET程序集都可包含任何给定数目的嵌入资源，如，应用图标、图形文件、音频片段或字符串表。

程序集可由若干模块构成。模块为程序集的一部分，即，代码或资源的逻辑收集。用于程序集中的实体的等级为：程序集＞模块＞类型(类别、接口、结构、计数、委托(delegate))＞方法。模块可为内部(即，程序集的文件内)或外部的(即，分离文件)。模块没有入口点，其也不具有任何独立的版本号，且因此其不可由CLR环境直接地载入。模块仅可由程序集的主模块载入，如，包含程序集的清单的文件。模块的清单仅包含所有外部程序集的计数。各个模块均具有模块版本标识符(MVID)，其为程序集的各个模块中写出的唯一标识符，其在各次编译期间变化。