題 為什麼防病毒軟件不會刪除病毒,惡意軟件等,而是隔離它們?


為什麼防病毒軟件不會完全刪除病毒,惡意軟件等,而是隔離它們?完全擺脫它們不是更好嗎?為什麼?我該如何手動刪除它們?


122
2017-07-03 07:22


起源


幾個星期前,ClamWin AV開始檢測所有 docx 在波蘭語版本的Word中創建的文件是惡意的。我自己並不使用ClamWin,但我想那些做過的人都很感激隔離。 - gronostaj
這個討論產生了一個 相關Sec.SE問題。 - Ben N
我使用的幾乎所有防病毒程序都可以讓您選擇在檢測到特定威脅時會發生什麼(無論是忽略,隔離還是刪除可疑文件......)。 - Breakthrough
對那些要求關閉這個問題的人 意見為基礎: 有理由將文件置於隔離區中而不是基於意見:誤報,將來恢復文件的可能性,部分恢復受感染文件,研究病毒的可能性...... 選擇 保持或不保持 它們最終可以是個人的,即使不是完全隨意的:事實上,如果文件是分佈式文件(程序部分),則可以從安全源複製/下載它並替換原始文件而無需保留受感染的副本。沒有機會代替我們製作的(這裡是個人的) - Hastur
許多年前,AV套件的名稱我不會提及(咳嗽賽門鐵克咳嗽)決定在例行的夜間掃描期間將數百個系統DLL標記為感染。當然,當Windows重新啟動時,隔離一半的操作系統並沒有順利完成。機器完全打磚,即使在安全模式下也無法啟動。因此,我不得不從機器中刪除HD,將其作為第二個驅動器放在另一台機器中,然後將DLL移回原來的位置。這需要一整天才能完成。考慮如果這些文件已被刪除而不是隔離,會發生什麼。 - Carey Gregory


答案:


病毒和 惡意軟件 如果不執行則不危險。
用戶和惡意代碼(病毒或惡意代碼)無法執行隔離區中的文件 惡意軟件)沒有可能採取行動。如果病毒/惡意軟件是可移動的,則會立即將其刪除。
如果不是,該文件將被移動到隔離區。

有不同之處 原因 為了這:

  • 假陽性 (正如其他答案所強調的那樣,見下文) 進一步說明)。
  • 未來恢復文件的可能性 (病毒在原始文件中添加其代碼並在某處移動/ crypt /隱藏原始代碼的一部分。目前無法恢復文件,但可能在不久的將來它將會恢復)。
    實際上,如果文件是唯一的(例如,由計算機所有者創建的文件)並且它是某種方式 珍貴,用戶可以找到一種方法來恢復仍然可以從中恢復的所有部件。論文(或圖像)的一部分總比沒有好。
  • 可能性 研究病毒 由反病毒公司或個人感染其他計算機(讓我們想像你有一個被病毒攻擊的文件。它的簽名, md5sum 變化。您在許多計算機上擁有相同的文件。如果簽名相同,您可以猜測它們會受到攻擊。如果您簽入備份,則可以在病毒第一次發現時執行此操作。
     注意:歷史上 “quarantena” 為了防止黑死病的擴散,看病毒是否發展,在進入城市之前對船隻和人進行了40天的隔離期。在我們的計算機上,隔離區只是一個安全的地方,可以使可疑文件保持不活動狀態,而無需觀察病毒的任何操作。  

  • 在隔離區甚至可以結束 已更改的可執行文件。
    想像一下,你有一個你重新編譯的程序或一個不通過常用的Windows方式更新的開源程序:防病毒可以注意到一個活動(寫) exe可切割文件並將其放入隔離區。
    此外,因為有一些文件 活躍的內容 (例如,Word或eXcel宏......)某些防病毒軟件可以發現可執行部分中的差異並將其解釋為病毒的操作所產生的差異。

  • 如果你有相同的版本 以不同方式從病毒攻擊的文件,(理論上)可以通過交叉和分析這些版本的數據來恢復文件。

進一步說明
像病毒和防病毒一樣思考,以了解隔離存在的原因,為什麼會出現誤報以及為什麼這是一場每天都在繼續的戰鬥。

病毒(或病毒) 惡意軟件)是一個編譯代碼,執行編程的目的。
作為編譯代碼,它是 二進制 (通常)而不是文本(正如你正在閱讀的那樣)。它必須 傳播 本身並執行一些 家庭作業 (一個任務,技術上是一個 有效載荷),不一定是在同一時間(這增加了在檢測到感染之前傳播感染的可能性)。

病毒如何傳播並被執行?

  • 它只是可以覆蓋原始代碼的一部分(exedllcom...文件)並改為放置代碼。

    DOS virus
    一個例子  行動的DOS病毒 在這種模式下
    缺點是原始程序可以停止工作,並且可以更快地檢測到病毒(例如: “...你好,我的程序沒有用......奇怪的事情正在發生......你能幫忙嗎? - 是的,先生你有病毒”)。

  • 它可以復制初始部分 文件被感染 在它結束之後,它可以把它自己而不是第一部分。因此,當您執行程序時,首先執行病毒,然後才執行程序......更聰明的變體是在文件末尾複製自己並在文件開頭跳轉到最後( ...一個回到它的結尾)...缺點是防病毒軟件可以搜索病毒代碼(一旦知道)並輕鬆找到它。這發生在 80年代至90年代的級聯病毒...... 

    Cascade virus

  • 它可以由零件和  (注意不是)可以改變他的 形狀 並隱藏自己在程序的不同部分,移動它們,加密和加擾。每次他都可能以不同的方式感染新文件。因此,防病毒軟件可能只能在指紋中找到遺骸 - 每天他都難以識別。

現在,你還記得病毒是(通常)二進制代碼嗎?嗯,指紋也是如此。
由於它們不是完整病毒而只是幾個字節,因此可能會發生壓縮文件,數據文件或圖像的一部分與眾多已知病毒指紋之一具有相同字節的情況 - 因此誤報。

結論性說明: 並非所有病毒都計劃損壞,但大多數病毒都是這樣做的, 事實上
隨著實際使用具有銀行賬戶和賬單的計算機,它似乎不再像上面的圖像那樣有趣。


135
2017-07-04 04:00



因此特別+1 未來恢復文件的可能性  - 曾幾何時,這是防病毒軟件的標準操作過程! - fluffy
@MSalters。不,遺憾的是沒有自動糾正。我正在形像地說(或者至少我試圖):病毒從文件傳播到另一個(也許是另一台計算機......)。然後它駐留在一個文件中(它找到了家)。然後它等待......然後它執行它所教導的(編程)。從這裡開始 “家庭作業”  你可以把它讀作 “任務”,它應該更清楚,但更像是你看病毒作為士兵。 BTW感謝現場,回答更新。 - Hastur
我很好奇“他(注意不是)”部分。那是關於什麼的? - Alpha
在短語“在隔離區甚至可執行文件可以完成”中,我無法弄清楚“完成”這個詞是什麼意思。你能澄清一下嗎? - Tanner Swett
@Alpha(和其他人......)這是個人的,與我的方式有關 “感” 那種病毒。前者盲目地執行基本任務,沒有任何表現出任何光彩。但隨後他們開始修改自己,隱藏和留下 軌枕,加密自己,以某種方式發展... - 容易找到的變種沒有生存的可能性抵抗你的嘗試 殺 他們;看:我用過 “生存”和“殺戮”,含蓄地,我開始認識到他們某種尊嚴作為情報的表達,好像他們還活著......所以不再是它,而是 他,要么 她 如果你更喜歡。 - Hastur


反惡意軟件應用程序提供隔離選項,默認情況下通常會啟用此選項,原因有兩個:

  1. 如果出現誤報,請備份被識別為威脅的物品。雖然不常見,但我在許多不同的合法應用程序文件和驅動程序中都看到了誤報的情況。
  2. 將該項目置於隔離區可以使其得到更好的調查。它與惡意軟件簽名匹配的事實並不意味著它只是相似但實際上可能具有其他特殊性。

89
2017-07-03 07:32



此外,如果惡意軟件已經嵌入您真正想要的文件中,例如Word文檔或類似文件,那麼從用戶的角度來看,徹底刪除可能是最糟糕的選擇。隔離至少可以讓你有機會獲得內容,無論多麼危險。 - Mokubai♦
此外,反惡意軟件軟件可能與您在分類中有不同的理解。一些反病毒軟件已知將SysAdmin工具檢測為惡意軟件,我發現其中一些軟件刪除了我的USB-Stick的一半而沒有詢問我何時將其連接到某些公司和學校的計算機。 netcat,wireshark等是眾所周知的候選人。我也看到人們將他們的主要論文的唯一副本存儲在USB-Stick上。我希望反惡意軟件掃描程序不會將其檢測為誤報並在不詢問的情況下將其刪除。 - H. Idden
不是很常見?我想我的殺毒軟件幾乎所有的檢測都是誤報。 - Oriol
@JuliePelletier誤報的比例很大程度上受到用戶行為的影響。我從來沒有病毒,惡意軟件或類似的東西,因為我非常小心。這會自動使大多數(如果不是全部)檢測結果為誤報。我當然仍然使用防病毒:)。 - Mixxiphoid
@Mokubai這是一個有趣的想法,病毒可能會通過在合法文件中添加viri簽名來造成破壞 - 讓av做骯髒的工作。 - emory


出於同樣的原因,(大多數)政府逮捕了涉嫌犯罪分子,而不是在街上輕微挑釁他們:

你想讓犯罪嫌疑人有機會為自己辯護,以防他們真的沒有犯任何罪行。而且,即使他們確實犯了罪,你也許想要了解它的全部內容。


72
2017-07-03 12:57



通過這個類比,至少應該有一些默認刪除的防病毒軟件...... - PlasmaHH
@ΈρικΚωνσταντόπουλος: 真是個荒唐的說法。 Windows 7也“不存在”嗎? - Lightness Races in Orbit
@ΈρικΚωνσταντόπουλος:人們將長期使用Windows 7和8。一年前的軟件沒有“不存在”。別那麼傻了! - Lightness Races in Orbit
@ΈρικΚωνσταντόπουλοςWindows7擴展支持到2020年,夥伴; Windows 8直到2023年。我很難發現你的觀點。它是什麼? - Lightness Races in Orbit
@ΈρικΚωνσταντόπουλος是的,在2023年。你有什麼意義? - Lightness Races in Orbit


病毒(例如)不一定是“獨立”二進制(.exe)。傳統上,他們中的許多人將自己“附加”到(許多)普通可執行文件。 (因此選擇了這個詞:“感染”)

因此,“刪除”惡意軟件文件不是唯一的選擇。許多AV提供“清理”受感染文件的選項。 (從正常的程序文件中刪除病毒部分。將正常的程序保留在原處。)

“傳播感染”將不會基於“運行惡意軟件”(可見進程.exe) - 但基於運行 任何 “正常程序”(Word,Excel)。 (或打開那些正常文件)

將“正常但受感染”的程序文件移動到隔離位置是停止的第一步 傳播 感染。在那裡,它不太可能在每天的操作中連續執行。

在刪除之前,隔離區會為您提供選項。 如果“清潔”失敗。如果你在其他地方有一個“更好的工具”。或者,如果您仍然需要所有受感染的文件。 (用於分析,數據恢復)


1
2017-07-07 14:32





有時,反病毒可能會將您的重要文件視為惡意文件,而不是自動刪除它們,它會隔離它們無法執行或訪問您的文件並通知您其操作的位置。


0
2017-07-10 09:47



歡迎來到超級用戶!這個答案對線程沒有任何新意。在發佈內容作為答案之前,請閱讀其他答案。 - rahuldottech