3)独立型恶意代码的清除
独立型恶意代码自身是独立的程序或独立的文件,如木马、蠕虫等,是恶意代码的主流类型。独立型恶意代码清除的关键是找到恶意代码程序自身,并将恶意代码从内存中清除,然后就可以删除恶意代码程序。
如果恶意代码自身是独立的可执行程序,其运行会形成进程,因此需要对进程进行分析,查找到恶意代码程序的进程,将进程终止后,从系统中删除恶意代码文件,并将恶意代码对系统的修改还原,就可以彻底清除该类恶意代码。
如果恶意代码是独立文件,但并非是一个独立的可执行程序,而是需要依托其他可执行程序运行调用,从而实现加载到内存中。例如利用DLL注入技术中注入到程序中的恶意DLL 文件(.dli)、利用加载为设备驱动的系统文件(.sys)都是典型的依附、非可执行程序。清除这种类型的恶意代码也需要先恶意代码终止运行,并从内存中退出。与独立可执行程序这种类型恶意代码不同的是,这种类型的恶意代码是由其他可执行程序加载到内存中的,因此需要将调用的可执行程序从内存中退出,恶意代码才会从内存中退出,相应的恶意代码文件也才禽鏊删除。如果调用恶意代码的程序为系统关键程序,无法在系统运行时退出。在这种情况下,需要将恶意代码与可执行程序之间的关联设置删除,重新启动系统后,恶意代码就不会被加载到内存中,文件才能被删除。
想了解更多IT资讯,请访问中培教育官网:中培教育