3)獨(dú)立型惡意代碼的清除

獨(dú)立型惡意代碼自身是獨(dú)立的程序或獨(dú)立的文件，如木馬、蠕蟲等，是惡意代碼的主流類型。獨(dú)立型惡意代碼清除的關(guān)鍵是找到惡意代碼程序自身，并將惡意代碼從內(nèi)存中清除，然后就可以刪除惡意代碼程序。

如果惡意代碼自身是獨(dú)立的可執(zhí)行程序，其運(yùn)行會(huì)形成進(jìn)程，因此需要對進(jìn)程進(jìn)行分析，查找到惡意代碼程序的進(jìn)程，將進(jìn)程終止后，從系統(tǒng)中刪除惡意代碼文件，并將惡意代碼對系統(tǒng)的修改還原，就可以徹底清除該類惡意代碼。

如果惡意代碼是獨(dú)立文件，但并非是一個(gè)獨(dú)立的可執(zhí)行程序，而是需要依托其他可執(zhí)行程序運(yùn)行調(diào)用，從而實(shí)現(xiàn)加載到內(nèi)存中。例如利用DLL注入技術(shù)中注入到程序中的惡意DLL 文件(.dli)、利用加載為設(shè)備驅(qū)動(dòng)的系統(tǒng)文件(.sys)都是典型的依附、非可執(zhí)行程序。清除這種類型的惡意代碼也需要先惡意代碼終止運(yùn)行，并從內(nèi)存中退出。與獨(dú)立可執(zhí)行程序這種類型惡意代碼不同的是，這種類型的惡意代碼是由其他可執(zhí)行程序加載到內(nèi)存中的，因此需要將調(diào)用的可執(zhí)行程序從內(nèi)存中退出，惡意代碼才會(huì)從內(nèi)存中退出，相應(yīng)的惡意代碼文件也才禽鏊刪除。如果調(diào)用惡意代碼的程序?yàn)橄到y(tǒng)關(guān)鍵程序，無法在系統(tǒng)運(yùn)行時(shí)退出。在這種情況下，需要將惡意代碼與可執(zhí)行程序之間的關(guān)聯(lián)設(shè)置刪除，重新啟動(dòng)系統(tǒng)后，惡意代碼就不會(huì)被加載到內(nèi)存中，文件才能被刪除。

想了解更多IT資訊，請?jiān)L問中培偉業(yè)官網(wǎng)：中培偉業(yè)