Почему антивирусное программное обеспечение не полностью удаляет вирусы, вредоносные программы и т. Д., А вместо этого помещает их в карантин? Не лучше ли от них полностью избавиться? Почему? И как я могу удалить их вручную?
Почему антивирусное программное обеспечение не полностью удаляет вирусы, вредоносные программы и т. Д., А вместо этого помещает их в карантин? Не лучше ли от них полностью избавиться? Почему? И как я могу удалить их вручную?
Ответы:
Вирусы и вредоносные программы не опасны, если не выполнены.
Файл в карантине не может быть выполнен пользователем, и вредоносный код (вирус или вредоносная программа ) не имеет возможности действовать. Если вирус / вредоносная программа является удаляемой, она будет немедленно удалена.
Если нет, файл будет перемещен в карантин.
Для этого есть разные причины :
Возможность изучения вируса антивирусной компанией или выделения вируса на другой компьютер (представим, что у вас есть файл, атакованный вирусом. Его сигнатура md5sum
меняется. У вас один и тот же файл на многих компьютерах. Можно предположить, что они атакованы. Если вы проверите свои резервные копии, вы можете найти первый раз, когда вирус действовал).
Примечание: исторически «карантена» была периодом 40-дневной изоляции кораблей и людей перед входом в город, чтобы предотвратить распространение Черной смерти, чтобы увидеть, развивается ли вирус. На наших компьютерах карантин - это просто безопасное место для хранения неактивных подозрительных файлов, без наблюдения каких-либо действий вируса.
На карантин может попасть даже исполняемый файл, который изменился.
Представьте, что у вас есть программа, которую вы перекомпилируете, или программа с открытым исходным кодом, которая обновляется не обычными способами Windows: антивирус может замечать действия (запись) в exe
-cutable файле и помещать его в карантин.
Более того, поскольку существуют некоторые файлы с активным содержимым (например, макрос Word или eXcel ...), некоторые антивирусы могут обнаруживать различия в исполняемых частях и интерпретировать их как результат действия вируса.
Если одна и та же версия файла атакована вирусом различными способами , можно (теоретически) восстановить файл путем скрещивания и анализа данных этих версий.
Дальнейшее объяснение
Подумайте, как вирус и антивирус, чтобы понять, почему существует карантин, почему могут быть ложные срабатывания и почему эта битва продолжается каждый день.
Вирус (или вредоносная программа ) - это скомпилированный код, который выполняет цель, для которой был запрограммирован.
Как скомпилированный код, он является двоичным (обычно), а не текстовым (как то, что вы читаете). Он должен распространяться сам и выполнять некоторую домашнюю работу (миссию, технически полезную нагрузку ), необязательно в одно и то же время (это увеличивает вероятность распространения инфекции до ее обнаружения).
Как вирус может распространиться и быть запущенным?
Просто он может перезаписать часть исходного кода ( exe
, dll
, com
... файлы) и поместить свой код вместо.
Пример древнего вируса DOS, который действует в таком режиме .
Недостатком является то, что оригинальная программа может перестать работать, и вирус может быть обнаружен быстрее (например: "... привет, моя программа не работает ... происходят странные вещи ... вы можете помочь? - Да, сэр, у вас есть вирус " ).
Он может скопировать начальную часть файла, которая будет заражена в конце, после того, как он может поместить себя вместо первой части. Таким образом, когда вы запускаете программу, сначала запускается вирус, и только затем программа запускается ... Более разумный вариант - скопировать себя в конец файла и поместить переход в конец файла в начале файла ( и одно возвращение к его началу в конце) ... Недостатком является то, что антивирус может искать код вируса (когда-то известный) и легко его находить. Это произошло в Каскадном вирусе в 80-х-90-х годах ...
Он может состоять из частей, и он ( обратите внимание, не это ) может изменять свою форму и прятаться в разных частях программы, перемещать их, шифровать и шифровать. Каждый раз он может заразить новый файл другим способом. Поэтому антивирус может обнаружить только остатки отпечатков пальцев - с каждым днем его все труднее идентифицировать.
Теперь, вы помните, что вирус (обычно) двоичный код? Ну и отпечатки пальцев тоже.
Поскольку они не являются полным вирусом, а всего лишь несколькими байтами, может случиться так, что часть сжатого файла, файла данных или изображения будет иметь те же байты, что и один из множества известных отпечатков вирусов - отсюда и ложное срабатывание.
Заключительное замечание: не все вирусы планировалось повредить, но большинство из них это делают де-факто .
С фактическим использованием компьютеров с банковскими счетами и счетами для оплаты это выглядит не так смешно, как на изображениях выше.
Приложения защиты от вредоносного ПО предоставляют параметр карантина, который часто включен по умолчанию по двум причинам:
По той же причине, по которой (большинство) правительства арестовывают подозреваемых преступников, а не расстреливают их на улице при малейшей провокации:
Вы хотите дать подозреваемому шанс защитить себя, если он на самом деле не совершил никакого преступления. И, даже если они совершили преступление, вы, вероятно, хотите узнать все об этом.
Вирусы (например) не обязательно являются «автономным» двоичным файлом (.exe). Традиционно многие из них «присоединяются» к (многим) нормальным исполняемым файлам. (отсюда и выбор слова: «заразить»)
Поэтому «удаление» вредоносного файла - не единственный вариант. Многие AV предлагают возможность «очистить» зараженные файлы. (удалите часть вируса из обычных файлов программы. Оставьте обычную программу там, где она есть.)
«Распространение инфекции» тогда будет основываться не на «запуске вредоносного ПО» (видимый процесс .exe), а на запуске любой «нормальной программы» (Word, Excel). (или откройте нормальный документ с теми)
Перемещение «нормального, но зараженного» файла программы в место карантина - это первый шаг к прекращению распространения инфекции. Там, менее вероятно, будет выполняться непрерывно во время каждодневной операции.
Карантин дает вам варианты, до удаления. В случае, если «очистка» не удалась. Если у вас есть «лучший инструмент» где-то еще. Или, если вам все еще нужны все эти зараженные файлы. (для анализа, восстановления данных)
Просто иногда антивирусы могут рассматривать ваши важные файлы как вредоносные, и вместо автоматического удаления они помещают их в карантин, где они не могут выполнить ваши файлы или получают к ним доступ, и уведомляют вас о своих действиях.
docx
файлы, созданные в польской версии Word, как вредоносные. Я сам не пользуюсь ClamWin, но, думаю, те, кто это делает, были благодарны за карантин.