[发明专利]清除恶意程序的方法和系统

说明书

技术领域

本发明涉及计算机安全技术，特别是涉及一种清除恶意程序的方法和系统。

背景技术

随着各种计算机应用程序的飞速发展，运行于计算机中的恶意程序也大量泛滥，并顽固地常驻于计算机中，对安全性造成了严重的危害。恶意程序为了常驻于计算机的操作系统中，通过各种各样的技术保护自己，使得传统的安全类软件无法进行删除。

传统的安全类软件通过以下几种方式实现恶意程序的清除：（1）对恶意程序的注册表或文件进行驱动层的强制删除，但是，删除之后恶意程序将会进行回写，进而无法实现注册表或文件的强制删除；（2）为了防止恶意程序的回写，使用占坑文件，在内核中使用最高系统权限，并且禁止共享打开，以使得恶意程序回写失败，但是，在恶意程序发现回写失败之后将会改名重新创建并回写文件，直至回写成功；（3）将恶意程序的文件路径写入注册表中，在开机时按照注册表中的文件路径执行对恶意程序的删除动作，但是，开机时运行的恶意程序将会对此注册表项进行监控，一旦发现注册表项中存在自己所要保护的文件路径则直接在注册表项中删除，进而导致无法进行恶意程序的删除；（4）删除恶意程序的回写进程，然后再删除恶意程序所对应的注册表或文件，但是若恶意程序注入了系统进程，使用系统进程回写文件或注册表，这将导致恶意程序的回写进程删除失败，进而无法删除对应的注册表或文件。

对于传统的安全类软件而言，采用了保护技术或者绕过安全类软件的删除逻辑的恶意程序造成了安全类软件即使检测到了恶意程序也只能对常驻于操作系统中的恶意程序束手无策的状况，大大地降低了安全性。

发明内容

基于此，有必要针对安全性低的问题，提供一种能提高安全性的清除恶意程序的方法。

此外，还有必要提供一种能提高安全性的清除恶意程序的装置。

一种清除恶意程序的方法，包括如下步骤：

操作系统运行后，启动核心文件进行环境搭建，在所述搭建的环境中加载驱动程序；

通过驱动程序读取配置文件得到所述恶意程序的路径；

在内核层中按照所述恶意程序的路径删除所述恶意程序的注册表和文件。

在其中一个实施例中，所述通过驱动程序读取配置文件得到所述恶意程序的路径的步骤为：

通过所述驱动程序遍历配置文件，分别读取得到恶意程序的注册表路径和文件路径。

在其中一个实施例中，还包括：

操作系统关闭释放注册表时，通过所述驱动程序读取得到恶意程序中的注册表路径；

调用注册表卸载函数根据所述注册表路径删除所述恶意程序的注册表。

在其中一个实施例中，还包括：

所述操作系统关闭触发释放文件系统时，通过所述驱动程序读取得到恶意程序中的文件路径；

调用文件卸载函数根据所述文件路径删除所述恶意程序的文件。

在其中一个实施例中，所述调用注册表卸载函数根据所述注册表路径删除所述恶意程序的注册表的步骤之前还包括：

预先对所述注册表卸载函数进行注册的步骤；

所述调用文件卸载函数根据所述文件路径删除所述恶意程序的文件之前还包括：

预先注册文件卸载函数的步骤。

一种清除恶意程序的方法，包括如下步骤：

操作系统关闭释放注册表时，通过驱动程序读取得到恶意程序中的注册表路径；

调用注册表卸载函数根据所述注册表路径删除恶意程序的注册表。

在其中一个实施例中，还包括：

所述操作系统关闭触发释放文件系统时，通过所述驱动程序读取得到恶意程序中的文件路径；

调用文件卸载函数根据所述文件路径删除所述恶意程序的文件。

在其中一个实施例中，所述调用注册表卸载函数根据所述注册表路径删除所述恶意程序的注册表的步骤之前还包括：

预先对所述注册表卸载函数进行注册的步骤；

所述调用文件卸载函数根据所述文件路径删除所述恶意程序的文件的步骤之前还包括：

预先注册文件卸载函数的步骤。

一种清除恶意程序的装置，包括：

启动加载模块，用于操作系统运行后，启动核心文件进行环境搭建，在所述搭建的环境中加载驱动程序；

路径读取模块，用于通过驱动程序计算配置文件得到所述恶意文件的路径；

程序删除模块，用于在内核层中按照所述恶意程序的路径删除所述恶意程序的注册表和文件。

在其中一个实施例中，所述路径读取模块还用于通过所述驱动程序遍历配置文件，分别读取得到恶意程序的注册表路径和文件路径。