1.一種基于統計方法的加殼可執行程序文件識別方法，其步驟包括：

1)讀入已知未加殼的可執行程序文件；

2)以單字節和雙字節為統計單位統計可執行程序文件中各數字出現的次數和總字節數；

3)求出單字節和雙字節在未加殼可執行程序文件中的概率，求出各相鄰單字節數值的條件分布；

4)讀入未知可執行程序文件，計算出該文件中單字節和雙字節出現的概率，與所述步驟3)中的數據進行比較，計算出差異值；

5)單字節和雙字節的差異值，分別大于指定的閥值，則確定該可執行程序文件加殼。

2.如權利要求1所述的方法，其特征在于，讀入未知可執行程序文件后，還可以識別一段數據是否加殼，具體步驟如下：

(1)將要識別的數據段以偶數字節為單位，分成小段；

(2)計算各小段在未加殼的可執行程序文件中的出現概率；

(3)計算各小段數據出現的平均概率；

(4)步驟(3)中得出的數值大于設定閥值，確定該段數據為可執行代碼的加殼部分。

3.如權利要求1所述的方法，其特征在于，所述步驟4)單字節的差異值：

S1=Σi=0x000xFF|Bi-Ai|0xFF,]]>雙字節的差異值?：S2=ΣI=0x00000xFFFF|CI-EI|0xFFFF,]]>其中：Bi、CI表示已知未加殼的可執行程序文件中的單字節、雙字節出現的概率，Ai、EI表示未知可執行程序文件中單字節、雙字節出現的概率。

4.如權利要求2所述的方法，其特征在于，所述步驟(1)偶數字節為8字節。

5.一種基于統計方法的加殼可執行程序文件識別系統，其特征在于，包括可執行程序文件加載模塊、數據統計模塊、數據計算模塊、寫入知識庫模塊、知識庫加載模塊、加殼文件識別模塊，其中：所述可執行程序文件加載模塊用于將已知未加殼可執行程序文件讀入，并將讀入的內容交給數據統計模塊；所述數據統計模塊統計以單字節和雙字節為統計單位統計可執行程序文件中各數字出現的次數和總字節數并傳遞給數據計算模塊；數據計算模塊求出單字節和雙字節在未加殼可執行程序文件中的概率，求出各相鄰單字節數值的條件分布后傳遞給寫入知識庫模塊；所述加殼文件識別模塊統計未知可執行程序文件中的單字節和雙字節出現的概率，與知識庫加載模塊加載的數據比較，計算出單字節和雙字節的差異值，分別大于指定的閥值，則確定該可執行程序文件加殼。

6.如權利要求5所述的系統，其特征在于，還包括加殼數據段識別模塊，用于識別一個可執行程序文件中的某段數據是否是加殼數據部分，所述加殼數據段識別模塊將要識別的數據段以偶數字節為單位，分成小段；計算各小段在未加殼的可執行程序文件中的出現概率；計算各小段數據出現的平均概率；如果得出的平均概率數值大于設定閥值，確定該段數據為可執行代碼的加殼部分。