为什么防病毒软件不删除病毒、恶意软件等,而是将其隔离?

为什么防病毒软件不删除病毒、恶意软件等,而是将其隔离?

为什么杀毒软件不彻底删除病毒、恶意软件等,而是隔离它们?彻底清除它们不是更好吗?为什么?我该如何手动删除它们?

答案1

病毒和恶意软件如果不执行则并不危险。
隔离区内的文件无法被用户执行,恶意代码(病毒或恶意软件) 无法采取行动。如果病毒/恶意软件可移除,则会立即被删除。
如果不可移除,则文件将被移至隔离区。

有不同的原因为了这:

  • 假阳性(正如其他答案所强调的那样,请参见下面的进一步解释)。
  • 未来恢复文件的可能性(病毒会将其代码添加到原始文件中,并将原始代码的一部分移动/加密/隐藏在某处。目前无法恢复该文件,但也许在不久的将来可以恢复)。
    事实上,如果该文件是唯一的(例如,由计算机所有者创建的文件),并且它以某种方式宝贵的,用户可能会找到一种方法来恢复论文中仍然可以恢复的所有部分。论文(或图像)的一部分总比没有好。
  • 可能性研究病毒由防病毒公司或将其他感染的计算机单独列出(假设您的文件受到病毒攻击。其签名md5sum会发生变化。您在许多计算机上都有相同的文件。如果签名相同,您可以猜测它们受到了攻击。如果您检查备份,您可以找到病毒首次行动的时间)。
    注意:从历史上看“隔离”为防止黑死病的传播,对船只和人员在进入城市前进行了 40 天的隔离,以观察病毒是否发展。在我们的计算机上,隔离只是一个安全的地方,可以保持可疑文件处于非活动状态,而不会观察到病毒的任何活动。

  • 在隔离期间,甚至可能已改变的可执行文件。
    想象一下,你有一个重新编译的程序或一个开源程序,它不是通过通常的 Windows 方式更新的:防病毒软件可以注意到可exe剪切文件上的活动(写入)并将其隔离。
    此外,由于有些文件活动内容(例如 Word 或 eXcel 宏...)某些防病毒软件可以发现可执行部分的差异并将其解释为由病毒作用产生的。

  • 如果你有相同版本的受到病毒以不同方式攻击的文件,通过交叉分析这些版本的数据,理论上可以恢复文件。

进一步解释
像病毒和防病毒软件一样思考,以了解为什么存在隔离,为什么会出现误报以及为什么这是一场每天都在持续的战斗。

病毒(或恶意软件)是编译后的代码,用于执行编程的目的。
作为编译后的代码,它二进制(通常)而不是文本(就像你正在阅读的那样)。它必须传播本身并执行一些家庭作业(一项任务,严格来说有效载荷),而不一定同时发生(这增加了在被发现之前传播感染的可能性)。

病毒如何传播并执行?

  • 简单地说,它可以覆盖原始代码的一部分(exe,,dll...com文件)并将其代码代之以。

    DOS病毒
    示例古老的行为的 DOS 病毒在这样的模式下.
    缺点是原程序可能会停止工作,并且病毒可能会被更快检测到(例如:“...你好,我的程序无法运行...发生了奇怪的事情...你能帮忙吗? - 是的先生,你感染了病毒”)。

  • 它可以复制受感染的文件在它的末尾,它可以将自身放在第一部分之后。因此,当您执行程序时,病毒首先被执行,然后程序才被执行……一个更聪明的变体是在文件末尾复制自身,并在文件开头放置一个跳转到末尾的跳转(并在文件末尾放一个跳转回开头的跳转)……缺点是防病毒软件可以搜索病毒的代码(一旦知道)并轻松找到它。这发生在80 年代至 90 年代的级联病毒......

    级联病毒

  • 它可以由零件和注意不是它)可以改变他的形状并隐藏在程序的不同部分,移动它们,加密和扰乱。每次他都可能以不同的方式感染新文件。因此,防病毒软件可能只能找到指纹残留——他一天比一天更难被识别。

现在,您还记得病毒(通常)是二进制代码吗?指纹也是如此。
由于它们不是完整的病毒,而只有几个字节,因此可能会发生压缩文件、数据文件或图像的一部分与众多已知病毒指纹之一的字节相同的情况 - 因此是误报。

结论:并非所有病毒都旨在造成破坏,但大多数病毒都会这样做,事实上随着
实际使用计算机来开设银行账户并支付账单,这似乎不再像上面的图片那么有趣了。

答案2

反恶意软件应用程序提供了隔离选项,该选项通常默认启用,原因有二:

  1. 备份被识别为威胁的项目,以防误报。虽然这种情况并不常见,但我见过许多不同的合法应用程序文件和驱动程序出现误报的情况。
  2. 将该项目隔离起来可能会使调查更加深入。它与恶意软件签名相匹配并不意味着它只是相似,实际上可能还有其他特殊之处。

答案3

原因与(大多数)政府一有挑衅就逮捕犯罪嫌疑人而不是在街上枪杀他们是一样的:

您希望给嫌疑人一个为自己辩护的机会,以防他们实际上根本没有犯罪。而且,即使他们确实犯了罪,您也可能希望了解全部情况。

答案4

例如,病毒不一定是“独立”的二进制文件 (.exe)。传统上,许多病毒会“附着”在(许多)正常的可执行文件上。(因此选择“感染”一词)

因此,“删除”恶意软件文件并不是唯一的选择。许多 AV 都提供“清理”受感染文件的选项。(从其他正常的程序文件中删除病毒部分。将正常程序保留在原处。)

那么“感染的传播”将不再基于“运行恶意软件”(可见进程 .exe),而是基于运行任何“普通程序”(Word、Excel)。(或使用这些程序打开普通文档)

将“正常但受感染”的程序文件移至隔离位置,是停止的第一步蔓延感染。在那里,它不太可能在日常操作中持续执行。

隔离区在删除之前为您提供选项。以防“清理”失败。以防您在其他地方有“更好的工具”。或者以防您仍然需要所有受感染的文件。(用于分析、数据恢复)

相关内容