[0051 ] S11、检测是否存在包括特征码的SVCH0ST进程,若检测到存在包括特征码的SVCH0ST进程,则执行步骤S102,若检测到不存在包括特征码的SVCH0ST进程,则结束。
[0052]本实施例中,特征码用于标识非法侵入计算机的非法操作,可以是非法侵入执行该病毒清除方法的计算机的非法操作,也可以是非法侵入其它计算机的非法操作,本实施例不作限定。当感染了 KIDO病毒时,一定存在包括特征码的SVCH0ST进程,因此,为了检测是否感染KIDO病毒,可以先实时地或周期性地检测是否存在包括特征码的SVCH0ST进程,当检测到存在包括特征码的SVCH0ST进程时,表明可能感染KIDO病毒,将执行步骤S102 ;当检测到不存在包括特征码的SVCH0ST进程时,表明未感染KIDO病毒,将结束。
[0053]S102、判断该SVCH0ST进程是否为目标DLL只读文件对应的进程,若该SVCH0ST进程为目标DLL只读文件对应的进程,则执行步骤S103,若该SVCH0ST进程不是目标DLL只读文件对应的进程,则结束。
[0054]本实施例中,由于KIDO病毒的文件一般是以动态链接库(Dynamic Link Library,DLL)只读文件的形式存在的,因此,检测到存在包括特征码的SVCH0ST进程之后,将判断该SVCH0ST进程是否为目标DLL只读文件对应的进程,当该SVCH0ST进程为目标DLL只读文件对应的进程时,表明感染了 KIDO病毒,将执行步骤S103,当该SVCH0ST进程不是目标DLL只读文件对应的进程,表明未感染KIDO病毒,则结束。
[0055]S103、确定目标DLL只读文件为KIDO病毒的文件。
[0056]S104、获取该SVCH0ST进程包括的线程,以获得KIDO病毒的线程。
[0057]本实施例中,当确定目标DLL只读文件为KIDO病毒的文件之后,表明感染了 KIDO病毒,将获取该SVCH0ST进程包括的线程,以获得KIDO病毒的线程。
[0058]S105、从注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项。
[0059]本实施例中,当确定目标DLL只读文件为KIDO病毒的文件之后,表明感染了 KIDO病毒,将从注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项。其中,步骤S104和步骤S105可以并行执行,也可以串行执行,本实施例不作限定。
[0060]作为一种可能的实施方式,从注册表中获取目标DLL只读文件的文件对应的注册表项,以获得KIDO病毒的注册表项的方式具体为:
[0061]检测是否存在隐藏的注册表;
[0062]若存在隐藏的注册表,则从隐藏的注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项。
[0063]本实施例中,为了保证KIDO病毒的隐蔽性,当存在隐藏的注册表时,KIDO病毒的注册表项位于隐藏的注册表中,因此,确定目标DLL只读文件为KIDO病毒的文件之后,可以先检测是否存在隐藏的注册表,当存在隐藏的注册表时,将从隐藏的注册表中获取目标DLL只读文件对应的注册表项,可以缩小查找范围,提高病毒清除效率;当不存在隐藏的注册表时,将从所有的注册表中获取目标DLL只读文件对应的注册表项。
[0064]S106、删除KIDO病毒的线程、KIDO病毒的注册表项和KIDO病毒的文件。
[0065]本实施例中,获取到KIDO病毒的线程和KIDO病毒的注册表项之后,将删除KIDO病毒的线程、KIDO病毒的注册表项和删除KIDO病毒的文件。
[0066]在图1所描述的病毒清除方法中,可以根据包括特征码的SVCH0ST进程和DLL只读文件来确定是否存在KIDO病毒的文件,在确定存在KIDO病毒的文件之后,将获取KIDO病毒的线程和注册表项,并删除KIDO病毒的文件、线程和注册表项,可以清除KIDO病毒,从而提高计算机的安全性。
[0067]请参阅图2,图2是本发明实施例提供的另一种病毒清除方法的流程图。如图2所示,该病毒清除方法可以包括以下步骤。
[0068]S201、检测是否存在包括特征码的SVCH0ST进程,若检测到存在包括特征码的SVCH0ST进程,则执行步骤S202,若检测到不存在包括特征码的SVCH0ST进程,则结束。
[0069]本实施例中,特征码用于标识非法侵入计算机的非法操作,可以是非法侵入执行该病毒清除方法的计算机的非法操作,也可以是非法侵入其它计算机的非法操作,本实施例不作限定。当感染了 KIDO病毒时,一定存在包括特征码的SVCH0ST进程,因此,为了检测是否感染KIDO病毒,可以先实时地或周期性地检测是否存在包括特征码的SVCH0ST进程,当检测到存在包括特征码的SVCHOST进程时,表明可能感染KIDO病毒,将执行步骤S102 ;当检测到不存在包括特征码的SVCHOST进程时,表明未感染KIDO病毒,将结束。
[0070]S202、判断该SVCHOST进程是否为目标DLL只读文件对应的进程,若该SVCHOST进程为目标DLL只读文件对应的进程,则执行步骤S203,若该SVCHOST进程不是目标DLL只读文件对应的进程,则结束。
[0071]本实施例中,由于KIDO病毒的文件一般是以动态链接库(Dynamic Link Library,DLL)只读文件的形式存在的,且为了保证KIDO病毒的隐蔽性,当感染了 KIDO病毒且存在隐藏的DLL只读文件时,KIDO病毒的文件是隐藏的DLL只读文件,因此,检测到存在包括特征码的SVCHOST进程之后,将先检测是否存在隐藏的DLL只读文件,当存在隐藏的DLL只读文件时,目标DLL只读文件是隐藏的DLL只读文件中的任一文件,当不存在隐藏的DLL只读文件时,目标DLL只读文件是所有DLL只读文件中的任一文件。
[0072]S203、确定目标DLL只读文件为KIDO病毒的文件。
[0073]S204、获取该SVCHOST进程包括的线程,以获得KIDO病毒的线程。
[0074]本实施例中,当确定目标DLL只读文件为KIDO病毒的文件之后,表明感染了 KIDO病毒,将获取该SVCHOST进程包括的线程,以获得KIDO病毒的线程。
[0075]S205、从注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项。
[0076]本实施例中,当确定目标DLL只读文件为KIDO病毒的文件之后,表明感染了 KIDO病毒,将从注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项。其中,步骤S204和步骤S205可以并行执行,也可以串行执行,本实施例不作限定。
[0077]作为一种可能的实施方式,从注册表中获取目标DLL只读文件的文件对应的注册表项,以获得KIDO病毒的注册表项的方式具体为:
[0078]检测是否存在隐藏的注册表;
[0079]若存在隐藏的注册表,则从隐藏的注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项。
[0080]本实施例中,为了保证KIDO病毒隐蔽性,当存在隐藏的注册表时,KIDO病毒的注册表项位于隐藏的注册表中,因此,确定目标DLL只读文件为KIDO病毒的文件之后,可以先检测是否存在隐藏的注册表,当存在隐藏的注册表时,将从隐藏的注册表中获取目标DLL只读文件对应的注册表项,可以缩小查找范围,提高病毒清除效率;当不存在隐藏的注册表时,将从所有的注册表中获取目标DLL只读文件对应的注册表项。
[0081]S206、删除KIDO病毒的线程、KIDO病毒的注册表项和删除KIDO病毒的文件。
[0082]本实施例中,获取到KIDO病毒的线程和KIDO病毒的注册表项之后,将删除KIDO病毒的线程、KIDO病毒的注册表项和删除KIDO病毒的文件。
[0083]S207、判断目标DLL只读文件是否被删除,若目标DLL只读文件被删除,则执行步骤S208,