[发明专利]恶意软件清除方法、系统及计算机程序产品与存储媒体

权利要求书

1.一种恶意软件的清除方法，包括：

建立关联图，所述关联图包括多个节点，所述节点分别对应至操作系统的多个程序及与所述程序相关的元件，其中所述节点之间的关联是依据所述程序与所述元件之间的关系而建立；

当满足预设条件时，对所述关联图进行节点标示动作，其中所述节点标示动作包括沿着所述节点的输出关联及进入关联两者或其中之一进行标示，所述节点标示动作还包括：

将恶意程序的节点及其相关联的节点标示上第一标记；

将未标示上所述第一标记的正常程序的节点及其相关联的节点标示上第二标记；以及，

针对同时标示上所述第一标记与所述第二标记的节点进行筛选，使得各所述节点仅标示上所述第一标记与所述第二标记其中之一；以及，

清除被标示上所述第一标记的节点所对应的程序及元件。

2.根据权利要求1所述的恶意软件的清除方法，其中所述节点标示动作是依据节点标示规则，判断各所述节点的标记是否能够沿着所述输出关联及所述进入关联两者或其中之一进行标示，以决定所述节点的标记是否继续扩散至其相关联的节点来进行标示。

3.根据权利要求1所述的恶意软件的清除方法，其中针对同时标示上所述第一标记与所述第二标记的节点进行筛选的步骤包括：

当所述节点其中之一被同时标示上所述第一标记与所述第二标记时，判断所述节点是否存在于白名单中，以重新将所述节点标示为所述第一标记或所述第二标记。

4.根据权利要求3所述的恶意软件的清除方法，其中判断同时被标示上所述第一标记与所述第二标记的节点是否存在于所述白名单的步骤包括：

若所述节点不存在于所述白名单中，则重新将所述节点标示为所述第一标记，并且将与所述节点相关联的节点标示上所述第一标记；以及，

若所述节点存在于所述白名单中，则对所述节点进行检验动作以判断所述节点是否受到所述恶意程序的感染。

5.根据权利要求4所述的恶意软件的清除方法，其中所述检验动作包括：

通过散列算法来检验所述节点所对应的程序或元件是否遭到所述恶意程序的感染；

当所述节点所对应的程序或元件并未受到所述恶意程序的感染，重新将所述节点标示为所述第二标记；

当所述节点所对应的程序或元件受到所述恶意程序的感染，利用回复机制来复原所述节点所对应的程序或元件。

6.根据权利要求5所述的恶意软件的清除方法，其中在利用所述回复机制来复原所述节点所对应的程序或元件的步骤之后，还包括：

重新将所述节点标示为所述第二标记。

7.根据权利要求1所述的恶意软件的清除方法，其中所述预设条件为从所述程序中搜寻到所述恶意程序，并且所述恶意程序欲开始危害所述操作系统。

8.根据权利要求1所述的恶意软件的清除方法，其中所述预设条件为从所述程序中搜寻到所述恶意程序，并且所述恶意程序的节点上产生所述进入关联。

9.一种恶意软件的清除系统，包括：

关联图建立模组，建立关联图，所述关联图包括多个节点，所述节点分别对应操作系统的多个程序及与所述程序相关的元件，其中所述节点之间的关联是依据所述程序与所述元件之间的关系而建立；

恶意软件侦测模组，在所述操作系统中侦测恶意程序；以及

可疑物件区别模组；

其中，当满足预设条件时，通过所述可疑物件区别模组对所述关联图进行节点标示动作，所述节点标示动作包括沿着所述节点的输出关联及进入关联两者或其中之一进行标示，所述节点标示动作还包括：

将所述恶意程序的节点及其相关联的节点标示上第一标记；将未标示上所述第一标记的正常程序的节点及其相关联的节点标示上第二标记；以及针对同时标示上所述第一标记与所述第二标记的节点进行筛选，使得各所述节点仅标示上所述第一标记与所述第二标记其中之一；

之后，所述可疑物件区别模组清除被标示上所述第一标记的节点所对应的程序及元件。

10.根据权利要求9所述的恶意软件的清除系统，其中所述可疑物件区别模组是依据节点标示规则，判断各所述节点的标记是否能够沿着所述输出关联及所述进入关联两者或其中之一进行标示，以决定所述节点的标记是否继续扩散至其相关联的节点来进行标示。