恶意代码的清除之独立型恶意代码的清除

3)独立型恶意代码的清除

独立型恶意代码自身是独立的程序或独立的文件，如木马、蠕虫等，是恶意代码的主流类型。独立型恶意代码清除的关键是找到恶意代码程序自身，并将恶意代码从内存中清除，然后就可以删除恶意代码程序。

如果恶意代码自身是独立的可执行程序，其运行会形成进程，因此需要对进程进行分析，查找到恶意代码程序的进程，将进程终止后，从系统中删除恶意代码文件，并将恶意代码对系统的修改还原，就可以彻底清除该类恶意代码。

如果恶意代码是独立文件，但并非是一个独立的可执行程序，而是需要依托其他可执行程序运行调用，从而实现加载到内存中。例如利用DLL注入技术中注入到程序中的恶意DLL 文件(.dli)、利用加载为设备驱动的系统文件(.sys)都是典型的依附、非可执行程序。清除这种类型的恶意代码也需要先恶意代码终止运行，并从内存中退出。与独立可执行程序这种类型恶意代码不同的是，这种类型的恶意代码是由其他可执行程序加载到内存中的，因此需要将调用的可执行程序从内存中退出，恶意代码才会从内存中退出，相应的恶意代码文件也才禽鏊删除。如果调用恶意代码的程序为系统关键程序，无法在系统运行时退出。在这种情况下，需要将恶意代码与可执行程序之间的关联设置删除，重新启动系统后，恶意代码就不会被加载到内存中，文件才能被删除。

想了解更多IT资讯，请访问中培教育官网：中培教育