本發(fā)明涉及系統(tǒng)安全技術(shù)領(lǐng)域，尤其涉及一種清除惡意程序的方法、裝置以及電子設(shè)備。

背景技術(shù)：

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，病毒、木馬等惡意程序技術(shù)層出不窮。相關(guān)技術(shù)中，在檢測(cè)到終端的操作系統(tǒng)中存在惡意程序時(shí)，通常是在操作系統(tǒng)的應(yīng)用層上通過刪除函數(shù)(如DeleteFile函數(shù)、NtDeleteFile函數(shù))將惡意程序文件進(jìn)行刪除。但是，由于個(gè)別惡意程序會(huì)利用自身加載的驅(qū)動(dòng)程序，保護(hù)該惡意程序不被刪除以達(dá)到自我保護(hù)的目的，所以針對(duì)這種惡意程序，通過上述刪除方法并不能成功刪除該惡意程序，使得該惡意程序仍會(huì)影響操作系統(tǒng)的安全，存在刪除成功率低、系統(tǒng)安全保護(hù)性差等問題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的旨在至少在一定程度上解決上述的技術(shù)問題之一。

為此，本發(fā)明的第一個(gè)目的在于提出一種清除惡意程序的方法。該方法可以達(dá)到徹底刪除的目的，有利于突破惡意程序強(qiáng)制將文件刪除的目的，從而提高了刪除成功率，且提高了系統(tǒng)安全保護(hù)性。

本發(fā)明的第二個(gè)目的在于提出一種清除惡意程序的裝置。

本發(fā)明的第三個(gè)目的在于提出一種電子設(shè)備。

本發(fā)明的第四個(gè)目的在于提出一種存儲(chǔ)介質(zhì)。

本發(fā)明的第五個(gè)目的在于提出一種應(yīng)用程序。

為達(dá)上述目的，本發(fā)明第一方面實(shí)施例的清除惡意程序的方法，包括：當(dāng)檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，確定所述惡意程序的文件路徑；根據(jù)所述惡意程序的文件路徑創(chuàng)建分頁文件，并通過所述分頁文件的文件大小對(duì)所述惡意程序進(jìn)行清除。

本發(fā)明實(shí)施例的清除惡意程序的方法，當(dāng)檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，可確定惡意程序的文件路徑，并根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件，并通過分頁文件的文件大小對(duì)惡意程序進(jìn)行清除。即通過創(chuàng)建系統(tǒng)的分頁文件，該分頁文件的文件路徑即為待清除的惡意程序的文件路徑，這樣可以將惡意程序替換成分頁文件，并通過分頁文件的文件大小來控制替換的惡意程序的文件大小，以達(dá)到徹底刪除的目的，有利于突破惡意程序強(qiáng)制將文件刪除的目的，從而提高了刪除成功率，且提高了系統(tǒng)安全保護(hù)性。

其中，在本發(fā)明的一個(gè)實(shí)施例中，所述操作系統(tǒng)為Windows NT操作系統(tǒng)。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述根據(jù)所述惡意程序的文件路徑創(chuàng)建分頁文件，包括：從動(dòng)態(tài)鏈接庫中獲取分頁文件創(chuàng)建函數(shù)；通過所述分頁文件創(chuàng)建函數(shù)將所述惡意程序的文件路徑作為所述分頁文件的文件路徑，并通過所述分頁文件創(chuàng)建函數(shù)設(shè)置所述分頁文件的文件大小的最小值為第一閾值，并設(shè)置所述分頁文件的文件大小的最大值為第二閾值，以實(shí)現(xiàn)所述分頁文件的創(chuàng)建，其中，所述第一閾值小于所述第二閾值。

其中，在本發(fā)明的實(shí)施例中，所述動(dòng)態(tài)鏈接庫為Ntdll.dll庫；所述分頁文件創(chuàng)建函數(shù)為NtCreatePagingFile函數(shù)；所述第一閾值為0，所述第二閾值為1。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，在根據(jù)所述惡意程序的文件路徑創(chuàng)建分頁文件之前，所述方法還包括：判斷是否能夠通過文件刪除函數(shù)直接刪除所述惡意程序；如果能夠通過文件刪除函數(shù)直接刪除所述惡意程序，則通過所述文件刪除函數(shù)直接刪除所述惡意程序；如果不能夠通過文件刪除函數(shù)直接刪除所述惡意程序，則根據(jù)所述惡意程序的文件路徑創(chuàng)建分頁文件。

為達(dá)上述目的，本發(fā)明第二方面實(shí)施例的清除惡意程序的裝置，包括：確定模塊，用于在檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，確定所述惡意程序的文件路徑；創(chuàng)建模塊，用于根據(jù)所述惡意程序的文件路徑創(chuàng)建分頁文件；清除模塊，用于通過所述分頁文件的文件大小對(duì)所述惡意程序進(jìn)行清除。

本發(fā)明實(shí)施例的清除惡意程序的裝置，可通過確定模塊在檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，確定惡意程序的文件路徑，創(chuàng)建模塊根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件，清除模塊通過分頁文件的文件大小對(duì)惡意程序進(jìn)行清除。即通過創(chuàng)建系統(tǒng)的分頁文件，該分頁文件的文件路徑即為待清除的惡意程序的文件路徑，這樣可以將惡意程序替換成分頁文件，并通過分頁文件的文件大小來控制替換的惡意程序的文件大小，以達(dá)到徹底刪除的目的，有利于突破惡意程序強(qiáng)制將文件刪除的目的，從而提高了刪除成功率，且提高了系統(tǒng)安全保護(hù)性。

其中，在本發(fā)明的一個(gè)實(shí)施例中，所述操作系統(tǒng)為Windows NT操作系統(tǒng)。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述創(chuàng)建模塊包括：獲取單元，用于從動(dòng)態(tài)鏈接庫中獲取分頁文件創(chuàng)建函數(shù)；創(chuàng)建單元，用于通過所述分頁文件創(chuàng)建函數(shù)將所述惡意程序的文件路徑作為所述分頁文件的文件路徑，并通過所述分頁文件創(chuàng)建函數(shù)設(shè)置所述分頁文件的文件大小的最小值為第一閾值，并設(shè)置所述分頁文件的文件大小的最大值為第二閾值，以實(shí)現(xiàn)所述分頁文件的創(chuàng)建，其中，所述第一閾值小于所述第二閾值。

其中，在本發(fā)明的實(shí)施例中，所述動(dòng)態(tài)鏈接庫為Ntdll.dll庫；所述分頁文件創(chuàng)建函數(shù)為NtCreatePagingFile函數(shù)；所述第一閾值為0，所述第二閾值為1。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述裝置還包括：判斷模塊，用于在根據(jù)所述惡意程序的文件路徑創(chuàng)建分頁文件之前，判斷是否能夠通過文件刪除函數(shù)直接刪除所述惡意程序；刪除模塊，用于在所述判斷模塊判斷能夠通過文件刪除函數(shù)直接刪除所述惡意程序時(shí)，通過所述文件刪除函數(shù)直接刪除所述惡意程序；其中，所述創(chuàng)建模塊還用于：在所述判斷模塊判斷不能夠通過文件刪除函數(shù)直接刪除所述惡意程序時(shí)，根據(jù)所述惡意程序的文件路徑創(chuàng)建分頁文件。

為達(dá)上述目的，本發(fā)明第三方面實(shí)施例的電子設(shè)備，包括：殼體、處理器、存儲(chǔ)器、電路板和電源電路，其中，所述電路板安置在所述殼體圍成的空間內(nèi)部，所述處理器和所述存儲(chǔ)器設(shè)置在所述電路板上；所述電源電路，用于為所述電子設(shè)備的各個(gè)電路或器件供電；所述存儲(chǔ)器用于存儲(chǔ)可執(zhí)行程序代碼；所述處理器通過讀取所述存儲(chǔ)器中存儲(chǔ)的可執(zhí)行程序代碼來運(yùn)行與所述可執(zhí)行程序代碼對(duì)應(yīng)的程序，以用于執(zhí)行以下步驟：當(dāng)檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，確定所述惡意程序的文件路徑；根據(jù)所述惡意程序的文件路徑創(chuàng)建分頁文件，并通過所述分頁文件的文件大小對(duì)所述惡意程序進(jìn)行清除。

本發(fā)明實(shí)施例的電子設(shè)備，當(dāng)檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，可確定惡意程序的文件路徑，并根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件，并通過分頁文件的文件大小對(duì)惡意程序進(jìn)行清除。即通過創(chuàng)建系統(tǒng)的分頁文件，該分頁文件的文件路徑即為待清除的惡意程序的文件路徑，這樣可以將惡意程序替換成分頁文件，并通過分頁文件的文件大小來控制替換的惡意程序的文件大小，以達(dá)到徹底刪除的目的，有利于突破惡意程序強(qiáng)制將文件刪除的目的，從而提高了刪除成功率，且提高了系統(tǒng)安全保護(hù)性。

為達(dá)上述目的，本發(fā)明第四方面實(shí)施例提出了一種存儲(chǔ)介質(zhì)，其中，該存儲(chǔ)介質(zhì)用于存儲(chǔ)應(yīng)用程序，所述應(yīng)用程序用于在運(yùn)行時(shí)執(zhí)行本發(fā)明第一方面實(shí)施例所述的清除惡意程序的方法。

為達(dá)上述目的，本發(fā)明第五方面實(shí)施例提出了一種應(yīng)用程序，其中，所述應(yīng)用程序用于在運(yùn)行時(shí)執(zhí)行本發(fā)明第一方面實(shí)施例所述的清除惡意程序的方法。

本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過本發(fā)明的實(shí)踐了解到。

附圖說明

本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解，其中：

圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的清除惡意程序的方法的流程圖；

圖2是根據(jù)本發(fā)明一個(gè)具體實(shí)施例的清除惡意程序的方法的流程圖；

圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的清除惡意程序的裝置的結(jié)構(gòu)框圖；

圖4是根據(jù)本發(fā)明一個(gè)具體實(shí)施例的清除惡意程序的裝置的結(jié)構(gòu)框圖；

圖5是根據(jù)本發(fā)明另一個(gè)具體實(shí)施例的清除惡意程序的裝置的結(jié)構(gòu)框圖；

圖6是根據(jù)本發(fā)明一個(gè)實(shí)施例的電子設(shè)備的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面詳細(xì)描述本發(fā)明的實(shí)施例，所述實(shí)施例的示例在附圖中示出，其中自始至終相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實(shí)施例是示例性的，旨在用于解釋本發(fā)明，而不能理解為對(duì)本發(fā)明的限制。

下面參考附圖描述根據(jù)本發(fā)明實(shí)施例的清除惡意程序的方法、裝置以及電子設(shè)備。

圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的清除惡意程序的方法的流程圖。需要說明的是，本發(fā)明實(shí)施例的清除惡意程序的方法可應(yīng)用于本發(fā)明實(shí)施例的清除惡意程序的裝置，該清除惡意程序的裝置可被配置于本發(fā)明實(shí)施例的電子設(shè)備，該電子設(shè)備應(yīng)具有操作系統(tǒng)，且該電子設(shè)備可包括但不限于終端等。

如圖1所示，該清除惡意程序的方法可以包括：

S110，當(dāng)檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，確定惡意程序的文件路徑。

舉例而言，假設(shè)本發(fā)明實(shí)施例的清除惡意程序的方法可應(yīng)用于終端的安全軟件中，該安全軟件可對(duì)終端的操作系統(tǒng)進(jìn)行安全檢測(cè)，當(dāng)檢測(cè)到終端的操作系統(tǒng)中存在惡意程序時(shí)，可確定該惡意程序在該操作系統(tǒng)中的存儲(chǔ)位置，即該惡意程序的文件路徑。

作為一種示例，檢測(cè)終端的操作系統(tǒng)中是否存在惡意程序的具體實(shí)現(xiàn)過程可如下：可對(duì)終端的文件進(jìn)行掃描，若掃描到某個(gè)程序或文件不存在于包含合法文件的白名單中，則可認(rèn)為該程序或文件為惡意程序?？梢岳斫?，檢測(cè)終端的操作系統(tǒng)中是否存在惡意程序還可以有其他方式，在此不再贅述。

S120，根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件，并通過分頁文件的文件大小對(duì)惡意程序進(jìn)行清除。其中，在本發(fā)明的一個(gè)實(shí)施例中，該操作系統(tǒng)可為Windows NT操作系統(tǒng)。

具體地，在得到惡意程序的文件路徑之后，可創(chuàng)建分頁文件，該分頁文件的文件路徑即為該惡意程序的文件路徑，以使該分頁文件替換該惡意程序，并設(shè)定所創(chuàng)建的分頁文件的文件大小，并通過該分頁文件的文件大小來實(shí)現(xiàn)對(duì)該惡意程序的清除。

具體而言，在本發(fā)明的一個(gè)實(shí)施例中，可先從動(dòng)態(tài)鏈接庫中獲取分頁文件創(chuàng)建函數(shù)，之后，可通過分頁文件創(chuàng)建函數(shù)將惡意程序的文件路徑作為分頁文件的文件路徑，并通過分頁文件創(chuàng)建函數(shù)設(shè)置分頁文件的文件大小的最小值為第一閾值，并設(shè)置分頁文件的文件大小的最大值為第二閾值，以實(shí)現(xiàn)分頁文件的創(chuàng)建，其中，第一閾值小于第二閾值。此外，上述動(dòng)態(tài)鏈接庫可為Ntdll.dll庫；分頁文件創(chuàng)建函數(shù)為NtCreatePagingFile函數(shù)；第一閾值為0，第二閾值為1。

更具體地，以操作系統(tǒng)為Windows NT操作系統(tǒng)為例，可先定義一個(gè)針對(duì)分頁文件創(chuàng)建函數(shù)(如NtCreatePagingFile函數(shù))的函數(shù)指針，如假設(shè)該函數(shù)指針的名稱為FPN-NtCreatePagingFile，在操作系統(tǒng)的應(yīng)用層上，調(diào)用函數(shù)地址獲取函數(shù)從動(dòng)態(tài)鏈接庫(如Ntdll.dll庫)中獲取分頁文件創(chuàng)建函數(shù)的函數(shù)地址，例如，通過函數(shù)表達(dá)可為GetProcAddress(ntdll.dll,"NtCreatePagingFile")。在獲取到分頁文件創(chuàng)建函數(shù)的函數(shù)地址之后，可將該分頁文件創(chuàng)建函數(shù)的函數(shù)地址賦值給函數(shù)指針FPN-NtCreatePagingFile。

可以理解，該動(dòng)態(tài)鏈接庫ntdll.dll中的分頁文件創(chuàng)建函數(shù)NtCreatePagingFile的函數(shù)原型可如下：

其中，該NtCreatePagingFile函數(shù)的第一個(gè)參數(shù)“PageFileName”表示待創(chuàng)建的分頁文件的文件路徑，第二個(gè)參數(shù)“MiniumSize”表示待創(chuàng)建的分頁文件的文件大小的最小值，第三個(gè)參數(shù)“MaxiumSize”表示待創(chuàng)建的分頁文件的文件大小的最大值。

在將分頁文件創(chuàng)建函數(shù)的函數(shù)地址賦值給函數(shù)指針FPN-NtCreatePagingFile之后，可調(diào)用函數(shù)指針FPN-NtCreatePagingFile以調(diào)用分頁文件創(chuàng)建函數(shù)NtCreatePagingFile，并將惡意程序的文件路徑作為該NtCreatePagingFile函數(shù)中的第一個(gè)參數(shù)值、將上述第一閾值作為第二個(gè)參數(shù)值、以及將上述第三個(gè)閾值作為第三個(gè)參數(shù)值，使得通過該NtCreatePagingFile函數(shù)來實(shí)現(xiàn)分頁文件的創(chuàng)建。

最后，通過創(chuàng)建的分頁文件的文件大小對(duì)惡意程序進(jìn)行清除。其中，以第一閾值為0、第二閾值為1為例，創(chuàng)建的分頁文件的文件大小為0KB，即此時(shí)該分頁文件所替換的惡意程序的文件大小為0KB，也就是清空了該惡意程序的原文件數(shù)據(jù)，而此時(shí)該文件的文件屬性已變成一個(gè)系統(tǒng)文件，即變成了分頁文件，達(dá)到了徹底清除惡意程序的目的。

本發(fā)明實(shí)施例的清除惡意程序的方法，當(dāng)檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，可確定惡意程序的文件路徑，并根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件，并通過分頁文件的文件大小對(duì)惡意程序進(jìn)行清除。即通過創(chuàng)建系統(tǒng)的分頁文件，該分頁文件的文件路徑即為待清除的惡意程序的文件路徑，這樣可以將惡意程序替換成分頁文件，并通過分頁文件的文件大小來控制替換的惡意程序的文件大小，以達(dá)到徹底刪除的目的，有利于突破惡意程序強(qiáng)制將文件刪除的目的，從而提高了刪除成功率，且提高了系統(tǒng)安全保護(hù)性。

圖2是根據(jù)本發(fā)明一個(gè)具體實(shí)施例的清除惡意程序的方法的流程圖。

為了提高可用性以及可行性，在本發(fā)明的一個(gè)實(shí)施例中，在根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件之前，可先對(duì)該惡意程序進(jìn)行判斷，以判斷該惡意程序是否可以通過常規(guī)的文件刪除方法進(jìn)行刪除，若可以，則直接進(jìn)行文件刪除，若不可以，則再通過創(chuàng)建分頁文件來對(duì)惡意程序進(jìn)行清除。具體地，如圖2所示，該清除惡意程序的方法可以包括：

S210，當(dāng)檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，確定惡意程序的文件路徑。

S220，判斷是否能夠通過文件刪除函數(shù)直接刪除惡意程序。

可以理解，由于有些惡意程序可以通過現(xiàn)有技術(shù)中常規(guī)的文件刪除方法來進(jìn)行刪除，此時(shí)可無需對(duì)該惡意程序進(jìn)行強(qiáng)制刪除，因此，在進(jìn)行強(qiáng)制刪除惡意程序之前，在得到惡意程序的文件路徑之后，判斷該文件路徑所對(duì)應(yīng)的惡意程序是否能夠通過文件刪除函數(shù)(如DeleteFile函數(shù)、NtDeleteFile函數(shù))被直接刪除。

S230，如果能夠通過文件刪除函數(shù)直接刪除惡意程序，則通過文件刪除函數(shù)直接刪除惡意程序。

S240，如果不能夠通過文件刪除函數(shù)直接刪除惡意程序，則根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件，并通過分頁文件的文件大小對(duì)惡意程序進(jìn)行清除。

其中，在本發(fā)明的一個(gè)實(shí)施例中，該操作系統(tǒng)可為Windows NT操作系統(tǒng)。

具體而言，在本發(fā)明的一個(gè)實(shí)施例中，可先從動(dòng)態(tài)鏈接庫中獲取分頁文件創(chuàng)建函數(shù)，之后，可通過分頁文件創(chuàng)建函數(shù)將惡意程序的文件路徑作為分頁文件的文件路徑，并通過分頁文件創(chuàng)建函數(shù)設(shè)置分頁文件的文件大小的最小值為第一閾值，并設(shè)置分頁文件的文件大小的最大值為第二閾值，以實(shí)現(xiàn)分頁文件的創(chuàng)建，其中，第一閾值小于第二閾值。此外，上述動(dòng)態(tài)鏈接庫可為Ntdll.dll庫；分頁文件創(chuàng)建函數(shù)為NtCreatePagingFile函數(shù)；第一閾值為0，第二閾值為1。

本發(fā)明實(shí)施例的清除惡意程序的方法，在根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件之前，可先對(duì)該惡意程序進(jìn)行判斷，以判斷該惡意程序是否可以通過常規(guī)的文件刪除方法進(jìn)行刪除，若可以，則直接進(jìn)行文件刪除，若不可以，則再通過創(chuàng)建分頁文件來對(duì)惡意程序進(jìn)行清除。即通過對(duì)現(xiàn)有技術(shù)方案的增加，在個(gè)別情況下，惡意程序無法使用文件刪除函數(shù)進(jìn)行刪除的時(shí)候，可以使用創(chuàng)建分頁文件的方式將惡意程序強(qiáng)制替換成系統(tǒng)的分頁文件，有利于突破惡意程序強(qiáng)制把文件刪除的目的，對(duì)系統(tǒng)安全有積極意義，且提高了提高可用性以及可行性。

為了實(shí)現(xiàn)上述實(shí)施例，本發(fā)明還提出了一種清除惡意程序的裝置。

圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的清除惡意程序的裝置的結(jié)構(gòu)框圖。如圖3所示，該清除惡意程序的裝置可以包括：確定模塊100、創(chuàng)建模塊200和清除模塊300。

具體地，確定模塊100可用于在檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，確定惡意程序的文件路徑。

舉例而言，假設(shè)本發(fā)明實(shí)施例的清除惡意程序的裝置可應(yīng)用于終端的安全軟件中，該安全軟件可對(duì)終端的操作系統(tǒng)進(jìn)行安全檢測(cè)，當(dāng)檢測(cè)到終端的操作系統(tǒng)中存在惡意程序時(shí)，確定模塊100可確定該惡意程序在該操作系統(tǒng)中的存儲(chǔ)位置，即該惡意程序的文件路徑。

作為一種示例，檢測(cè)終端的操作系統(tǒng)中是否存在惡意程序的具體實(shí)現(xiàn)過程可如下：可對(duì)終端的文件進(jìn)行掃描，若掃描到某個(gè)程序或文件不存在于包含合法文件的白名單中，則可認(rèn)為該程序或文件為惡意程序?？梢岳斫?，檢測(cè)終端的操作系統(tǒng)中是否存在惡意程序還可以有其他方式，在此不再贅述。

創(chuàng)建模塊200可用于根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件。其中，在本發(fā)明的實(shí)施例中，上述操作系統(tǒng)可為Windows NT操作系統(tǒng)。更具體地，在確定模塊100得到惡意程序的文件路徑之后，創(chuàng)建模塊200可創(chuàng)建分頁文件，該分頁文件的文件路徑即為該惡意程序的文件路徑，以使該分頁文件替換該惡意程序，并設(shè)定所創(chuàng)建的分頁文件的文件大小，以使后續(xù)通過該分頁文件的文件大小來實(shí)現(xiàn)對(duì)該惡意程序的清除。

具體而言，在本發(fā)明的一個(gè)實(shí)施例中，如圖4所示，該創(chuàng)建模塊200可以包括：獲取單元210和創(chuàng)建單元220。其中，獲取單元210可用于從動(dòng)態(tài)鏈接庫中獲取分頁文件創(chuàng)建函數(shù)。創(chuàng)建單元220可用于通過分頁文件創(chuàng)建函數(shù)將惡意程序的文件路徑作為分頁文件的文件路徑，并通過分頁文件創(chuàng)建函數(shù)設(shè)置分頁文件的文件大小的最小值為第一閾值，并設(shè)置分頁文件的文件大小的最大值為第二閾值，以實(shí)現(xiàn)分頁文件的創(chuàng)建，其中，第一閾值小于第二閾值。此外，動(dòng)態(tài)鏈接庫可為Ntdll.dll庫；分頁文件創(chuàng)建函數(shù)可為NtCreatePagingFile函數(shù)；第一閾值可為0，第二閾值可為1。

更具體地，以操作系統(tǒng)為Windows NT操作系統(tǒng)為例，獲取單元210可先定義一個(gè)針對(duì)分頁文件創(chuàng)建函數(shù)(如NtCreatePagingFile函數(shù))的函數(shù)指針，如假設(shè)該函數(shù)指針的名稱為FPN-NtCreatePagingFile，在操作系統(tǒng)的應(yīng)用層上，獲取單元210可通過調(diào)用函數(shù)地址獲取函數(shù)從動(dòng)態(tài)鏈接庫(如Ntdll.dll庫)中獲取分頁文件創(chuàng)建函數(shù)的函數(shù)地址，例如，通過函數(shù)表達(dá)可為GetProcAddress(ntdll.dll,"NtCreatePagingFile")。在獲取單元210獲取到分頁文件創(chuàng)建函數(shù)的函數(shù)地址之后，創(chuàng)建單元220可將該分頁文件創(chuàng)建函數(shù)的函數(shù)地址賦值給函數(shù)指針FPN-NtCreatePagingFile。

可以理解，該動(dòng)態(tài)鏈接庫ntdll.dll中的分頁文件創(chuàng)建函數(shù)NtCreatePagingFile的函數(shù)原型可如上述所示。

其中，該NtCreatePagingFile函數(shù)的第一個(gè)參數(shù)“PageFileName”表示待創(chuàng)建的分頁文件的文件路徑，第二個(gè)參數(shù)“MiniumSize”表示待創(chuàng)建的分頁文件的文件大小的最小值，第三個(gè)參數(shù)“MaxiumSize”表示待創(chuàng)建的分頁文件的文件大小的最大值。

創(chuàng)建單元220在將分頁文件創(chuàng)建函數(shù)的函數(shù)地址賦值給函數(shù)指針FPN-NtCreatePagingFile之后，可調(diào)用函數(shù)指針FPN-NtCreatePagingFile以調(diào)用分頁文件創(chuàng)建函數(shù)NtCreatePagingFile，并將惡意程序的文件路徑作為該NtCreatePagingFile函數(shù)中的第一個(gè)參數(shù)值、將上述第一閾值作為第二個(gè)參數(shù)值、以及將上述第三個(gè)閾值作為第三個(gè)參數(shù)值，使得通過該NtCreatePagingFile函數(shù)來實(shí)現(xiàn)分頁文件的創(chuàng)建。

清除模塊300可用于通過分頁文件的文件大小對(duì)惡意程序進(jìn)行清除。例如，以第一閾值為0、第二閾值為1為例，創(chuàng)建的分頁文件的文件大小為0KB，清除模塊300可根據(jù)該分頁文件的文件大小將該惡意程序的文件大小變?yōu)榕c該分頁文件的文件大小，即此時(shí)該分頁文件所替換的惡意程序的文件大小為0KB，也就是清空了該惡意程序的原文件數(shù)據(jù)，而此時(shí)該文件的文件屬性已變成一個(gè)系統(tǒng)文件，即變成了分頁文件，達(dá)到了徹底清除惡意程序的目的。

為了提高可用性以及可行性，進(jìn)一步地，在本發(fā)明的一個(gè)實(shí)施例中，如圖5所示，該清除惡意程序的裝置還可包括：判斷模塊400和刪除模塊500。具體地，判斷模塊400可用于在根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件之前，判斷是否能夠通過文件刪除函數(shù)直接刪除惡意程序。刪除模塊500可用于在判斷模塊400判斷能夠通過文件刪除函數(shù)直接刪除惡意程序時(shí)，通過文件刪除函數(shù)直接刪除惡意程序。其中，在本發(fā)明的實(shí)施例中，創(chuàng)建模塊200還可用于：在判斷模塊400判斷不能夠通過文件刪除函數(shù)直接刪除惡意程序時(shí)，根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件。由此，通過對(duì)現(xiàn)有技術(shù)方案的增加，在個(gè)別情況下，惡意程序無法使用文件刪除函數(shù)進(jìn)行刪除的時(shí)候，可以使用創(chuàng)建分頁文件的方式將惡意程序強(qiáng)制替換成系統(tǒng)的分頁文件，有利于突破惡意程序強(qiáng)制把文件刪除的目的，對(duì)系統(tǒng)安全有積極意義，且提高了提高可用性以及可行性。

本發(fā)明實(shí)施例的清除惡意程序的裝置，可通過確定模塊在檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，確定惡意程序的文件路徑，創(chuàng)建模塊根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件，清除模塊通過分頁文件的文件大小對(duì)惡意程序進(jìn)行清除。即通過創(chuàng)建系統(tǒng)的分頁文件，該分頁文件的文件路徑即為待清除的惡意程序的文件路徑，這樣可以將惡意程序替換成分頁文件，并通過分頁文件的文件大小來控制替換的惡意程序的文件大小，以達(dá)到徹底刪除的目的，有利于突破惡意程序強(qiáng)制將文件刪除的目的，從而提高了刪除成功率，且提高了系統(tǒng)安全保護(hù)性。

為了實(shí)現(xiàn)上述實(shí)施例，本發(fā)明還提出了一種電子設(shè)備。

圖6是根據(jù)本發(fā)明一個(gè)實(shí)施例的電子設(shè)備的結(jié)構(gòu)示意圖。如圖6所示，該電子設(shè)備可包括：殼體61、處理器62、存儲(chǔ)器63、電路板64和電源電路65，其中，電路板64安置在殼體61圍成的空間內(nèi)部，處理器62和存儲(chǔ)器63設(shè)置在電路板64上；電源電路65，用于為電子設(shè)備的各個(gè)電路或器件供電；存儲(chǔ)器63用于存儲(chǔ)可執(zhí)行程序代碼；處理器62通過讀取存儲(chǔ)器63中存儲(chǔ)的可執(zhí)行程序代碼來運(yùn)行與可執(zhí)行程序代碼對(duì)應(yīng)的程序，以用于執(zhí)行以下步驟：

S110’，當(dāng)檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，確定惡意程序的文件路徑。

S120’，根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件，并通過分頁文件的文件大小對(duì)惡意程序進(jìn)行清除。

本發(fā)明實(shí)施例的電子設(shè)備，當(dāng)檢測(cè)到操作系統(tǒng)中存在惡意程序時(shí)，可確定惡意程序的文件路徑，并根據(jù)惡意程序的文件路徑創(chuàng)建分頁文件，并通過分頁文件的文件大小對(duì)惡意程序進(jìn)行清除。即通過創(chuàng)建系統(tǒng)的分頁文件，該分頁文件的文件路徑即為待清除的惡意程序的文件路徑，這樣可以將惡意程序替換成分頁文件，并通過分頁文件的文件大小來控制替換的惡意程序的文件大小，以達(dá)到徹底刪除的目的，有利于突破惡意程序強(qiáng)制將文件刪除的目的，從而提高了刪除成功率，且提高了系統(tǒng)安全保護(hù)性。

為了實(shí)現(xiàn)上述實(shí)施例，本發(fā)明還提出了一種存儲(chǔ)介質(zhì)，該存儲(chǔ)介質(zhì)用于存儲(chǔ)應(yīng)用程序，該應(yīng)用程序可用于在運(yùn)行時(shí)執(zhí)行本發(fā)明上述任一個(gè)實(shí)施例所述的清除惡意程序的方法。

為了實(shí)現(xiàn)上述實(shí)施例，本發(fā)明還提出了一種應(yīng)用程序，該應(yīng)用程序可用于在運(yùn)行時(shí)執(zhí)行本發(fā)明上述任一個(gè)實(shí)施例所述的清除惡意程序的方法。

在本發(fā)明的描述中，需要理解的是，術(shù)語“第一”、“第二”僅用于描述目的，而不能理解為指示或暗示相對(duì)重要性或者隱含指明所指示的技術(shù)特征的數(shù)量。由此，限定有“第一”、“第二”的特征可以明示或者隱含地包括至少一個(gè)該特征。在本發(fā)明的描述中，“多個(gè)”的含義是至少兩個(gè)，例如兩個(gè)，三個(gè)等，除非另有明確具體的限定。

在本說明書的描述中，參考術(shù)語“一個(gè)實(shí)施例”、“一些實(shí)施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)包含于本發(fā)明的至少一個(gè)實(shí)施例或示例中。在本說明書中，對(duì)上述術(shù)語的示意性表述不必須針對(duì)的是相同的實(shí)施例或示例。而且，描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)可以在任一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合。此外，在不相互矛盾的情況下，本領(lǐng)域的技術(shù)人員可以將本說明書中描述的不同實(shí)施例或示例以及不同實(shí)施例或示例的特征進(jìn)行結(jié)合和組合。

流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為，表示包括一個(gè)或更多個(gè)用于實(shí)現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分，并且本發(fā)明的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn)，其中可以不按所示出或討論的順序，包括根據(jù)所涉及的功能按基本同時(shí)的方式或按相反的順序，來執(zhí)行功能，這應(yīng)被本發(fā)明的實(shí)施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解。

在流程圖中表示或在此以其他方式描述的邏輯和/或步驟，例如，可以被認(rèn)為是用于實(shí)現(xiàn)邏輯功能的可執(zhí)行指令的定序列表，可以具體實(shí)現(xiàn)在任何計(jì)算機(jī)可讀介質(zhì)中，以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備(如基于計(jì)算機(jī)的系統(tǒng)、包括處理器的系統(tǒng)或其他可以從指令執(zhí)行系統(tǒng)、裝置或設(shè)備取指令并執(zhí)行指令的系統(tǒng))使用，或結(jié)合這些指令執(zhí)行系統(tǒng)、裝置或設(shè)備而使用。就本說明書而言，"計(jì)算機(jī)可讀介質(zhì)"可以是任何可以包含、存儲(chǔ)、通信、傳播或傳輸程序以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備或結(jié)合這些指令執(zhí)行系統(tǒng)、裝置或設(shè)備而使用的裝置。計(jì)算機(jī)可讀介質(zhì)的更具體的示例(非窮盡性列表)包括以下：具有一個(gè)或多個(gè)布線的電連接部(電子裝置)，便攜式計(jì)算機(jī)盤盒(磁裝置)，隨機(jī)存取存儲(chǔ)器(RAM)，只讀存儲(chǔ)器(ROM)，可擦除可編輯只讀存儲(chǔ)器(EPROM或閃速存儲(chǔ)器)，光纖裝置，以及便攜式光盤只讀存儲(chǔ)器(CDROM)。另外，計(jì)算機(jī)可讀介質(zhì)甚至可以是可在其上打印所述程序的紙或其他合適的介質(zhì)，因?yàn)榭梢岳缤ㄟ^對(duì)紙或其他介質(zhì)進(jìn)行光學(xué)掃描，接著進(jìn)行編輯、解譯或必要時(shí)以其他合適方式進(jìn)行處理來以電子方式獲得所述程序，然后將其存儲(chǔ)在計(jì)算機(jī)存儲(chǔ)器中。

應(yīng)當(dāng)理解，本發(fā)明的各部分可以用硬件、軟件、固件或它們的組合來實(shí)現(xiàn)。在上述實(shí)施方式中，多個(gè)步驟或方法可以用存儲(chǔ)在存儲(chǔ)器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實(shí)現(xiàn)。例如，如果用硬件來實(shí)現(xiàn)，和在另一實(shí)施方式中一樣，可用本領(lǐng)域公知的下列技術(shù)中的任一項(xiàng)或他們的組合來實(shí)現(xiàn)：具有用于對(duì)數(shù)據(jù)信號(hào)實(shí)現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路，具有合適的組合邏輯門電路的專用集成電路，可編程門陣列(PGA)，現(xiàn)場(chǎng)可編程門陣列(FPGA)等。

本技術(shù)領(lǐng)域的普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法攜帶的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成，所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，包括方法實(shí)施例的步驟之一或其組合。

此外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理模塊中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)模塊中。上述集成的模塊既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能模塊的形式實(shí)現(xiàn)。所述集成的模塊如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。

上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器，磁盤或光盤等。盡管上面已經(jīng)示出和描述了本發(fā)明的實(shí)施例，可以理解的是，上述實(shí)施例是示例性的，不能理解為對(duì)本發(fā)明的限制，本領(lǐng)域的普通技術(shù)人員在本發(fā)明的范圍內(nèi)可以對(duì)上述實(shí)施例進(jìn)行變化、修改、替換和變型。