【技术实现步骤摘要】
201610066755
【技术保护点】
一种用于检测机器代码的恶意本机图像的方法,所述方法包括:通过硬件处理器接收所述机器代码的本机图像;通过所述硬件处理器识别父程序集,所述父程序集用于创建所述本机图像;通过所述硬件处理器确定所述父程序集是否对应所述机器代码的本机图像;和当所述父程序集不对应所述机器代码的本机图像时,通过所述硬件处理器确定所述本机图像是恶意的。
【技术特征摘要】
2015.07.21 US 14/804,8681.一种用于检测机器代码的恶意本机图像的方法,所述方法包括:
通过硬件处理器接收所述机器代码的本机图像;
通过所述硬件处理器识别父程序集,所述父程序集用于创建所述本机
图像;
通过所述硬件处理器确定所述父程序集是否对应所述机器代码的本
机图像;和
当所述父程序集不对应所述机器代码的本机图像时,通过所述硬件处
理器确定所述本机图像是恶意的。
2.根据权利要求1所述的方法,其中通过所述硬件处理器确定所述
父程序集是否对应所述机器代码的本机图像包括:确定所述父程序集的公
共中间语言(CIL)代码和所述机器代码之间的对应关系。
3.根据权利要求1所述的方法,其中通过所述硬件处理器使用一种
或多种元数据元件确定所述父程序集是否对应所述机器代码的本机图像,
所述一种或多种元数据元素包括:CIL代码、机器代码、元数据类型、清
单、便携可执行的(PE)文件标头和公共语言运行(CLR)标头。
4.根据权利要求1所述的方法,其中,通过所述硬件处理器确定所
述父程序集是否对应所述机器代码的本机图像包括:比较所述父程序集和
所述机器代码的相应的元数据元素。
5.根据权利要求1所述的方法,其中,通过所述硬件处理器确定所
述父程序集是否对应所述机器代码的本机图像包括:比较所述机器代码的
原始的本机图像和所述机器代码的生成的本机图像的相应的元数据,其
中,所述原始的本机图像是从所述父程序集生成的所述机器代码的保证未
修改的本机图像。
6.一种用于执行机器代码的本机图像的防病毒分析的方法,所述方法
包括:
通过硬件处理器接收所述机器代码的本机图像;
通过所述硬件处理器收集关于所述机器代码的本机图像的数据,所述
数据包括存储在关于创建所述机器代码的所述本机图像的操作系统中的
\t数据;
通过所述硬件处理器基于所收集的数据识别父程序集,其用于创建所
述机器代码的所述本机图像;
通过所述硬件处理器执行所述父程序集的防病毒分析;和
通过将所述父程序集的所述防病毒分析结果与所述本机图像相关联,
将所述机器代码的所述本机图像从所述防病毒分析中排除。
7.根据权利要求6所述的方法,其中关于创建所述机器代码的所述
本机图像的所收集的数据包括至所述操作系统的注册表中的父程序集的
路径。
8.根据权利要求6所述的方法,其中关于所述机器代码的所收集的
数据还包括模块版本标识符(MVID)、强名称、所...
【专利技术属性】
技术研发人员:A·Y·索罗多夫尼科夫,A·V·拉蒂科夫,S·V·特斯维特科夫,
申请(专利权)人:卡巴斯基实验室股份制公司,
类型:发明
国别省市:俄罗斯;RU
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。