如果这个百分比很高,为什么人们仍然要在 PC 启动后运行 AV;为什么不从媒体(光盘等)启动然后扫描受感染的磁盘(当病毒没有机会进入 RAM 时)是常态?
答案1
许多恶意软件会将自身挂接到从实时媒体或安全模式启动时未加载的驱动程序和其他系统进程中。
我在一台严重感染的机器上测试了这一点,该机器既有恶意软件字节,也有 combofix。我在安全模式下进行了扫描,并取出驱动器来扫描从属设备。
直到我重新启动操作系统并在正常运行期间进行扫描时才检测到任何东西。
大约有多少病毒会操纵已安装的防病毒程序,使自己在进入 RAM 后不被检测到?