[发明专利]一种恶意文件彻底清除方法、系统及存储介质

权利要求书

1.一种恶意文件彻底清除方法，其特征在于，包括：

检测计算机终端，发现可疑文件，并判断是否已拦截，若未拦截，则将所述可疑文件加入监控队列；

对所述监控队列中的可疑文件进行操作系统监控，若监控到修改系统配置的行为，则记录修改项目，并对被修改文件进行备份；

对所述监控队列中的可疑文件进行移动存储设备监控，若检测到监控队列中的可疑文件存储到移动存储设备中，则记录移动存储设备信息及存储时间；

对所述监控队列中的可疑文件进行流量监控，将监控队列中的可疑文件的文件信息发送到流量监控设备中，流量监控设备检测到所述监控队列中的可疑文件被传输时，记录传输信息，包括源终端名称及IP、目的终端名称及IP信息；

当计算机终端对监控队列中的可疑文件进行清除时，则还原被修改项目及备份文件，并根据记录的移动存储设备信息及传输信息生成告警。

2.如权利要求1所述的方法，其特征在于，所述操作系统监控包括：注册表、进程、MBR、计划任务及系统文件监控。

3.如权利要求1所述的方法，其特征在于，所述可疑文件的文件信息包括：文件名称、文件MD5及文件路径。

4.如权利要求1所述的方法，其特征在于，还包括，在首次检测计算机终端时，根据默认设置记录，检测计算机终端系统配置是否被篡改，如果被篡改，则根据默认设置记录，对数据进行恢复。

5.一种恶意文件彻底清除系统，其特征在于，包括：客户端及流量监控设备，所述客户端及流量监控设备上分别包括存储器和处理器，所述存储器可存储在处理器上运行的程序；所述客户端上的处理器在运行计算机程序时，实现如下步骤：

检测计算机终端，发现可疑文件，并判断是否已拦截，若未拦截，则将所述可疑文件加入监控队列；

对所述监控队列中的可疑文件进行操作系统监控，若监控到修改系统配置的行为，则记录修改项目，并对被修改文件进行备份；

对所述监控队列中的可疑文件进行移动存储设备监控，若检测到监控队列中的可疑文件存储到移动存储设备中，则记录移动存储设备信息及存储时间；

对所述监控队列中的可疑文件进行流量监控，将监控队列中的可疑文件的文件信息发送到流量监控设备中；

当计算机终端对监控队列中的可疑文件进行清除时，则还原被修改项目及备份文件，并根据记录的移动存储设备信息及传输信息生成告警；

所述流量监控设备的处理器在运行计算机程序时，实现如下步骤：流量监控设备检测到所述监控队列中的可疑文件被传输时，记录传输信息，包括源终端名称及IP、目的终端名称及IP信息。

6.如权利要求5所述的系统，其特征在于，所述操作系统监控包括：注册表、进程、MBR、计划任务及系统文件监控。

7.如权利要求5所述的系统，其特征在于，所述可疑文件的文件信息包括：文件名称、文件MD5及文件路径。

8.如权利要求5所述的系统，其特征在于，还包括，在首次检测计算机终端时，根据默认设置记录，检测计算机终端系统配置是否被篡改，如果被篡改，则根据默认设置记录，对数据进行恢复。