恶意代码的清除实质上是恶意代码植入过程的逆过程,即尽可能地将恶意代码对计算机系统产生的各种更改还原成之前的状态,这里包括对系统文件的修改,对注册表键及键值增加、删除或修改,以及对各类文件的感染或者增加、删除等操作。
恶意代码在植入到计算机系统的过程中,通常会对主机进行如下修改:
·添加文件到系统之中(包括拷贝恶意代码备份)或者对磁盘的扇区进行修改:
.修改主机系统中的文件(包括感染可执行文件、修改系统配置等);
·在系统中写入启动项(包括注册表键值、系统配置文件、服务、启动目录等)。
恶意代码在运行的过程中,还可能对系统产生如下影响:
·修改系统函数功能;
·修改系统内核数据结构;
.创建恶意进程或线程;
·启动服务,装载驱动程序;
·对本系统或其他系统进行破坏等。
在进行恶意代码清除时,如果恶意代码正在运行,则还需要停止恶意代码的运行进程或其所依附的其他进程,卸载驱动程序或者停止服务,否则很难清除干净。
恶意代码在植入系统时,为了增加清除难度,部分恶意代码通常还会对自身的各种存在瘾迹进行隐藏,或者在系统多个位置进行文件备份,甚至采取多种启动方式来确保系统重新启动之后获得控制权。因此,为了彻底清除恶意代码,需要按照如下步骤进行:
①停止恶意代码的所有活动行为(包括停止进程、服务、卸载DLL等)。
②删除恶意代码新建的所有文件备份(包括可执行文件、DLL文件、驱动程序等)。
③清除恶意代码写入的所有启动选项。
④对被计算机病毒感染的文件,还需要对被感染文件进行病毒清除等。
There are no reviews yet.