3)獨立型惡意代碼的清除

獨立型惡意代碼自身是獨立的程序或獨立的文件，如木馬、蠕蟲等，是惡意代碼的主流類型。獨立型惡意代碼清除的關(guān)鍵是找到惡意代碼程序自身，并將惡意代碼從內(nèi)存中清除，然后就可以刪除惡意代碼程序。

如果惡意代碼自身是獨立的可執(zhí)行程序，其運行會形成進程，因此需要對進程進行分析，查找到惡意代碼程序的進程，將進程終止后，從系統(tǒng)中刪除惡意代碼文件，并將惡意代碼對系統(tǒng)的修改還原，就可以徹底清除該類惡意代碼。

如果惡意代碼是獨立文件，但并非是一個獨立的可執(zhí)行程序，而是需要依托其他可執(zhí)行程序運行調(diào)用，從而實現(xiàn)加載到內(nèi)存中。例如利用DLL注入技術(shù)中注入到程序中的惡意DLL 文件(.dli)、利用加載為設(shè)備驅(qū)動的系統(tǒng)文件(.sys)都是典型的依附、非可執(zhí)行程序。清除這種類型的惡意代碼也需要先惡意代碼終止運行，并從內(nèi)存中退出。與獨立可執(zhí)行程序這種類型惡意代碼不同的是，這種類型的惡意代碼是由其他可執(zhí)行程序加載到內(nèi)存中的，因此需要將調(diào)用的可執(zhí)行程序從內(nèi)存中退出，惡意代碼才會從內(nèi)存中退出，相應(yīng)的惡意代碼文件也才禽鏊刪除。如果調(diào)用惡意代碼的程序為系統(tǒng)關(guān)鍵程序，無法在系統(tǒng)運行時退出。在這種情況下，需要將惡意代碼與可執(zhí)行程序之間的關(guān)聯(lián)設(shè)置刪除，重新啟動系統(tǒng)后，惡意代碼就不會被加載到內(nèi)存中，文件才能被刪除。

想了解更多IT資訊，請訪問中培偉業(yè)官網(wǎng)：中培偉業(yè)