公開了一種用于對軟件程序集的本機圖像進行防病毒檢測的系統和方法。實施例包括用于檢測機器代碼的惡意本機圖像的方法，所述方法包括：接收所述機器代碼的本機圖像；識別父程序集，所述父程序集用于創建所述本機圖像；確定所述父程序集是否對應所述機器代碼的本機圖像；和當所述父程序集不對應所述機器代碼的本機圖像時，確定本機圖像是惡意的。

技術領域

本公開大體涉及計算機科學領域，更具體地，涉及對軟件程序集的本機圖像進行防病毒檢查的系統和方法。

背景技術

目前，可安裝在用戶裝置(例如，個人計算機、智能電話、平板電腦等)上的軟件應用顯著地增長，且可由這些應用創建的文件的數目也指數地上升。在應用的安裝和運行時由軟件應用創建的某些文件是唯一的，即，文件可作為單一副本存在。很難在不執行其內容的詳細分析的情況下分類此類文件。

通常，這些文件可為機器代碼中的父程序集的圖像(即，本機圖像)，這是.NET技術的一部分。.NET應用可使用一定數目的程序集一起創建，其中程序集為由公共語言運行(CLR)環境輔助的二進制文件。.NET程序集包括以下元數據元素：

·可移植執行(PE)文件標頭；

·CLR標頭；

·公共中間語言(CIL)代碼；

·在各種類型的程序集中使用的元數據(例如，類別、接口、結構、列舉(enumerations)、委托)；

·程序集的清單；以及

·額外的內置資源。

大體上，PE標頭識別程序集可在系列的操作系統中加載和執行。PE標頭還識別應用(例如，控制臺應用、具有圖形用戶接口的應用、代碼庫等)的類型。

CLR標頭構成可支持所有.NET程序集以便它們可在CLR環境中維護的數據。CLR標頭包含諸如標記、CLR版本、入口點(例如，在特定情況下，開始函數Main()的地址)，這允許執行環境確定管理的文件的組成(即，包含管理代碼的文件)。

各個程序集均包含CIL代碼，其為并非依賴處理器的中間代碼。在執行期間，CIL代碼由JIT(準時，即，動態編譯)以實時模式編譯成對應于特定處理器的要求的指令。

在任何給定程序集中，還存在完整描述存在于程序集內的類型(例如，類別、接口、結構、計數、委托等)以及程序集參照的外部類型(即，其它程序集中描述的類型)的格式的元數據。在可執行環境中，元數據用于確定二進制文件中的類型的位置，以將類型置于存儲器中，且簡化類型的方法的遠程調用的進程。

程序集還可包含清單，其描述組成程序集的各個模塊、程序集的版本以及還有當前程序集參照的任何外部程序集。清單還包含指定程序集的版本和身份的程序集的要求所需的所有元數據，以及確定程序集的范圍和允許鏈接至資源和類別所需的所有元數據。下表示出了包含在程序集的清單中的數據。前四個元素(程序集名稱、版本號、語言和區域參數，以及強名稱數據)構成程序集的身份。

任何.NET程序集都可包含任何給定數目的嵌入資源，如，應用圖標、圖形文件、音頻片段或字符串表。

程序集可由若干模塊構成。模塊為程序集的一部分，即，代碼或資源的邏輯收集。用于程序集中的實體的等級為：程序集＞模塊＞類型(類別、接口、結構、計數、委托(delegate))＞方法。模塊可為內部(即，程序集的文件內)或外部的(即，分離文件)。模塊沒有入口點，其也不具有任何獨立的版本號，且因此其不可由CLR環境直接地載入。模塊僅可由程序集的主模塊載入，如，包含程序集的清單的文件。模塊的清單僅包含所有外部程序集的計數。各個模塊均具有模塊版本標識符(MVID)，其為程序集的各個模塊中寫出的唯一標識符，其在各次編譯期間變化。