如何清除惡意代碼

惡意代碼的清除是根據惡意代碼的感染過程或感染方式，將惡意代碼從系統中刪除，使被感染的系統或被感染的文件恢復正常的過程。

1.感染引導區型惡意代碼的清除

引導區型惡意代碼是一種通過感染系統引導區獲得控制權的惡意代碼，根據感染的類型分為主引導區和引導區惡意代碼兩種類型。由于惡意代碼寄生在引導區中，因此可以在操作系統前獲得系統控制權，其清除方式主要是對引導區進行修復，恢復正常的引導信息，惡意代碼隨之被清除。

2.文件依附型惡意代碼的清除

文件依附型惡意代碼是一種通過將自身依附在文件上的方式以獲得生存和傳播的惡意代碼，由于惡意代碼將自身依附在被感染文件上，只需根據感染過程和方式，將惡意代碼對文件的操作進行逆向操作，就可以清除。典型的文件型惡意代碼通常是將惡意程序追加到正常文件的后面，然后修改程序首指針，使得程序在執行時先執行惡意代碼，然后再跳轉去執行真正的程序代碼，這種感染方式會導致文件的長度增加。清除的過程相對簡單，將文件后的惡意代碼清除，并修改程序首指針使之恢復正常即可。

部分惡意代碼會將自身進行拆分，插入到被感染的程序的自由空間內。例如，著名的CIH病毒，就是將自身代碼拆分開，放置在被感染程序中沒有使用的部分，這種方式的被感染文件的長度不會增加。這種類型的惡意代碼相比前一種感染文件后端的惡意代碼的清除要復雜得多，只有準確了解該類惡意代碼的感染方式，才能有效清除。

部分文件依附型惡意代碼是覆蓋型文件感染惡意代碼，這類惡意程序會用自身代碼覆蓋文件的部分代碼，將其清除會導致正常文件被破壞，無法修復，只能用沒有被感染的原始文件覆蓋被感染的文件。

3.獨立型惡意代碼的清除

獨立型惡意代碼自身是獨立的程序或獨立的文件，如木馬、蠕蟲等，是惡意代碼的主流類型。清除獨立型惡意代碼的關鍵是找到惡意代碼程序，并將惡意代碼從內存中清除，然后就可以刪除惡意代碼程序。

如果惡意代碼自身是獨立的可執行程序，其運行會形成進程，因此需要對進程進行分析，查找到惡意代碼程序的進程，將進程終止后，從系統中刪除惡意代碼文件，并將惡意代碼對系統的修改還原，就可以徹底清除該類惡意代碼。

如果惡意代碼是獨立文件，但并不是一個獨立的可執行程序，而是需要依托其他可執行程序的運行和調用，才能加載到內存中，例如，利用DLL注入技術注入程序中的惡意DLL文件（.dll），利用加載為設備驅動的系統文件（.sys）都是典型的依附、非可執行程序。清除這種類型的惡意代碼也需要先終止惡意代碼運行，使其從內存中退出。與獨立型惡意代碼不同的是，這種類型的惡意代碼是由其他可執行程序加載到內存中的，因此需要將調用的可執行程序從內存中退出，惡意代碼才會從內存中退出，相應的惡意代碼文件也才能被刪除。如果調用惡意代碼的程序為系統關鍵程序，無法在系統運行時退出，在這種情況下，需要將惡意代碼與可執行程序之間的關聯設置刪除，重新啟動系統后，惡意代碼就不會被加載到內存中，文件才能被刪除。

4.嵌入型惡意代碼的清除

部分惡意代碼嵌入在應用軟件中，例如，攻擊者利用網上存在的大量開源軟件，將惡意代碼加入到某開源軟件的代碼中，然后編譯相關程序，并發布到網上吸引用戶下載，獲得用戶敏感信息、重要數據。由于這種類型的惡意代碼與目標系統結合緊密，通常需要通過更新軟件或系統，甚至重置系統才能清除。

回答所涉及的環境：聯想天逸510S、Windows 10。