Вопрос: Почему антивирусное программное обеспечение не удаляет вирусы, вредоносное ПО и т. Д., А вместо этого их карантин?


Почему антивирусное ПО не полностью удаляет вирусы, вредоносное ПО и т. Д., Но вместо этого их карантин? Разве не лучше полностью избавиться от них? Зачем? И как я могу вручную удалить их?


122
2017-07-03 07:22


Источник


Несколько недель назад ClamWin AV начал обнаруживать все docx файлы, созданные в польской версии Word, как вредоносные. Я сам не использую ClamWin, но я думаю, что те, кто это сделал, были благодарны за карантин. - gronostaj
Это обсуждение породило связанный вопрос Sec.SE, - Ben N
Почти каждая отдельная антивирусная программа, которую я использовал, позволяет вам выбирать, что происходит, когда обнаруживается определенная угроза (игнорирует ли она, помещает в карантин или удаляет подозрительный файл ...). - Breakthrough
Тем, кто просит закрыть этот вопрос как на основе мнения: есть причины помещать файлы в карантин, которые не основаны на мнениях: ложноположительные, будущая возможность восстановить файл, частичное восстановление зараженного файла, возможность изучения вируса ... Выбор сохранить или не продолжать они могут быть в конечном счете личными, даже если они не являются полностью произвольными: действительно, если файл является распределенным (часть программы), его можно скопировать / загрузить из безопасного источника и заменить оригинал без необходимости хранить зараженную копию. Нет шансов вместо того, что сделали мы (здесь личные) - Hastur
Много лет назад AV-пакет, имя которого я не буду упоминать (кашельSymantecкашель) решили помечать сотни системных DLL как зараженных во время рутинной ночной проверки. Естественно, что карантинная половина операционной системы не прошла хорошо, когда Windows была перезагружена. Машина была полностью кирпичной и не могла быть загружена даже в безопасном режиме. Поэтому мне пришлось удалить HD с машины, поместить его на другую машину в качестве второго диска и переместить библиотеки DLL туда, где они принадлежали. Это заняло целый день. Подумайте, что было бы, если бы эти файлы были удалены вместо карантина. - Carey Gregory


Ответы:


Вирусы и Malwares не являются опасными, если не выполняются.
Файл в карантине не может быть выполнен пользователем и вредоносным кодом (вирусом или вредоносные программы) не имеет возможности действовать. Если вирус / вредоносное ПО можно удалить, он будет удален немедленно.
Если файл не будет перемещен в карантин.

Они разные причины для этого:

  • Ложно положительный (как подчеркивается другими ответами, см. ниже в Дальнейшее объяснение).
  • Будущая возможность восстановить файл (вирус добавляет свой код в исходный файл и перемещает / шифрует / скрывает часть исходного кода где-то. В настоящее время невозможно восстановить файл, но, возможно, в ближайшем будущем это будет).
    Действительно, если файл уникален (например, один, созданный владельцем компьютера), и это как-то драгоценный, пользователь может найти способ восстановить все части, которые все еще можно восстановить из него. Часть тезиса (или изображения) всегда лучше, чем ничего.
  • Возможность изучить вирус антивирусной компанией или индивидуализировать другой компьютер с заражением (давайте представим, что у вас есть файл, атакованный вирусом. Его подпись, md5sum изменения. У вас один и тот же файл на многих компьютерах. Если подпись такая же, вы можете догадаться, что на нее нападают. Если вы проверите свои резервные копии, вы можете найти первый раз, когда вирус действовал).
     Примечание: исторически "Quarantena" был изоляцией на 40 дней для кораблей и людей перед входом в город, чтобы предотвратить распространение Черной Смерти, чтобы увидеть, развивается ли вирус или нет. На наших компьютерах карантин - это просто безопасное место для хранения неактивных подозрительных файлов без каких-либо действий с вирусом.  

  • В карантине может закончиться даже исполняемый файл, который был изменен.
    Представьте, что у вас есть программа, которую вы перекомпилируете, или программу с открытым исходным кодом, которая обновляется не обычными способами Windows: антивирус может заметить действия (записи) на exe-cutable file и поместить его в карантин.
    Кроме того, поскольку есть файлы с активный контент (как, например, Word или eXcel macro ...), некоторые антивирусы могут выявлять различия в исполняемых частях и интерпретировать те, которые производятся действием вируса.

  • Если у вас такая же версия файл, атакованный вирусом по-разному, можно (теоретически) восстановить файл, перейдя и проанализировав данные этих версий.

Дальнейшее объяснение
Подумайте, как вирус и антивирус, чтобы понять, почему существует карантин, почему могут быть ложные срабатывания и почему это битва, которая продолжается каждый день.

Вирус (или вредоносные программы) - это скомпилированный код, который выполняет цель для запрограммированного.
Как скомпилированный код, это двоичный (обычно), а не текст (как то, что вы читаете). Он должен размножать и выполнить некоторые домашнее задание (миссия, технически полезная нагрузка), не обязательно в одно и то же время (это увеличивает вероятность распространения инфекции до ее обнаружения).

Как вирус может распространяться и выполняться?

  • Просто он может перезаписать часть исходного кода (exe,dll,com...) и вместо этого введите его код.

    DOS virus
    Пример древний DOS, который действует в таком режиме,
    Недостатком является то, что исходная программа может перестать работать, и вирус может быть обнаружен быстрее (например: «... привет, моя программа не работает ... странные вещи происходят ... вы можете помочь? - Да, сэр, у вас есть вирус»).

  • Он может скопировать начальную часть файл для заражения в конце, после того, как он может поставить себя вместо первой части. Поэтому, когда вы запускаете программу, сначала запускается вирус, и только тогда выполняется программа. Более разумным вариантом является копирование в конце файла и перестановка в конец файла в начале файла ( и один назад к его началу в конце) ... Недостатком является то, что антивирус может искать код вируса (когда-то известный) и легко найти его. Это произошло в Каскадный вирус в 80-х-90-х годах ... 

    Cascade virus

  • Он может быть выполнен из деталей и он (не заметьте) может изменить его форма и скрыть себя в разных частях программы, переместить их, зашифровать и скремблировать. Каждый раз он может заразить новый файл по-другому. Поэтому антивирус может найти только отпечатки пальцев - каждый день его труднее идентифицировать.

Теперь вы помните, что вирус (обычно) двоичный код? Ну, отпечатки пальцев тоже.
Поскольку они не являются полным вирусом, а всего лишь несколькими байтами, может случиться так, что часть сжатого файла, файла данных или изображения имеет одинаковые байты одного из многих известных отпечатков вирусов - отсюда и ложный результат.

Заключительное примечание: не все вирусы планировали повредить, но большинство из них это делают, де-факто,
При фактическом использовании компьютеров с банковскими счетами и счетами, чтобы заплатить, это не кажется более смешным, как изображения выше.


135
2017-07-04 04:00



+1 по этому конкретно из-за будущая возможность восстановить файл - когда-то это был стандартный курс для антивирусного программного обеспечения! - fluffy
@MSalters. Нет, к сожалению, нет автоматической коррекции. Я говорил образно (или, по крайней мере, пытался): вирус распространяется из файла в другой (может быть, другой компьютер ...). Затем он находится в файле (он находит дом). Затем он ждет ... затем он выполняет то, чему его учили (запрограммированы). Отсюда термин "домашнее задание"  Вы можете прочитать это как «Миссия», это должно быть более ясным, но это больше похоже на то, что вы видите вирус как солдат. BTW благодарит за место, ответ обновляется. - Hastur
Мне любопытно, «часть (он не примечателен)». Что это было? - Alpha
Во фразе «В карантине даже исполняемый файл может быть закончен», я не могу понять, что означает слово «закончено». Можете ли вы это прояснить? - Tanner Swett
@ Альфа (и другие ...) Это личное, связанное с тем, как я "смысл" такого рода вирусы. Формеры выполняли основные задачи, слепо, без каких-либо проявлений какого-либо блеска. Но потом они начали изменять себя, скрывать и оставаться шпала, шифруя себя, как-то развиваясь ... - варианты, которые можно легко найти, не имели возможности выжить, сопротивляясь вашим попыткам убийство их; смотри: я использовал «выжить» и «убить», неявно я начинаю признавать их каким-то достоинством как выражение интеллекта, как будто они живы ... так что больше не это он,или она Если вы предпочитаете. - Hastur


Антивирусные приложения предоставляют параметр карантина, который часто по умолчанию используется по двум причинам:

  1. Храните резервную копию предметов, указанных как угрожающих в случае ложных срабатываний. Хотя это и не очень распространено, я видел случаи ложного позитива во многих различных законных файлах приложений и драйверах.
  2. Наличие элемента в карантине может позволить ему лучше исследовать. Тот факт, что он соответствует сигнатуре вредоносной программы, не означает, что он похож, но может иметь другие особенности.

89
2017-07-03 07:32



Кроме того, если вредоносное ПО встроено в файл, который вам действительно нужен, например документ Word или аналогичный, то удаленное удаление может быть худшим вариантом с точки зрения пользователей. Карантин по крайней мере дает вам шанс, как бы рискованно, вернуть содержимое. - Mokubai♦
Кроме того, программное обеспечение для защиты от вредоносных программ может иметь другое понимание, чем в классификации. Известно, что некоторые антивирусные программы обнаруживают инструменты SysAdmin как вредоносные программы, и я обнаружил, что некоторые из них удаляют половину моего USB-Stick, не спрашивая, когда я подключаю его к компьютерам из определенных компаний и школ. netcat, wirehark и т. д., являются известными недостатками. Я также видел, как люди сохраняли свою единственную копию своей магистерской диссертации на USB-Stick. Я надеюсь, что антивирусная программа не обнаруживает ее как ложно позитивную и удаляет ее, не спрашивая. - H. Idden
Не очень распространено? Я думаю, что почти все обнаруженные мной антивирусы были ложными срабатываниями. - Oriol
@JuliePelletier Отношение ложных срабатываний сильно зависит от действий пользователя. У меня никогда не было вируса, вредоносного ПО или чего-то подобного, потому что я очень осторожен. Это автоматически делает, что большинство (если не все) обнаружений являются ложными срабатываниями. Конечно, я все еще использую антивирус :). - Mixxiphoid
@Mokubai Это интересная идея о том, что вирус может привести к хаосу, добавив подпись viri к законным файлам, что делает av грязной работой. - emory


По той же причине, что (большинство) правительств арестовывают подозреваемых преступников, а не стреляют в них на улице при малейшей провокации:

Вы хотите дать подозреваемому возможность защитить себя, если они вообще не совершили какое-либо преступление. И даже если они совершили преступление, вы, вероятно, захотите узнать об этом.


72
2017-07-03 12:57



По этой аналогии должен быть по крайней мере некоторый антивирус, который удаляет по умолчанию ... - PlasmaHH
@ ΈρικΚωνσταντόπουλος: Какое смехотворное заявление, Windows 7 также «не существует»? - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος: Люди будут использовать Windows 7 и 8 в течение длительного времени. Нет ничего «несуществующего» в отношении однолетнего программного обеспечения. Не будь таким глупым! - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος Windows 7 имеет расширенную поддержку до 2020 года, помощник; Windows 8 до 2023 года. Я изо всех сил пытаюсь определить вашу точку зрения. Что это? - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος Да, в 2023 году. Каков ваш смысл? - Lightness Races in Orbit


Вирусы (например) не обязательно являются «автономными» двоичными (.exe). Традиционно многие из них «прикрепляют» себя к (многим) обычным исполняемым файлам. (следовательно, выбор слова: «заразить»)

Поэтому «удаление» вредоносного файла не является единственным вариантом. Многие AV-устройства предлагают возможность «очистить» зараженные файлы. (удалите часть вируса из других нормальных файлов программы. оставьте обычную программу там, где она есть.)

«Распространение инфекции» тогда не будет основано на «запуске вредоносного ПО» (видимый процесс .exe), но на основе запуска Любые «нормальная программа» (Word, Excel). (или открыть с ними нормальный документ)

Перенос «нормального, но зараженного» файла программы в место карантина - это первый шаг к остановке распространение инфекции. Там он менее вероятен для непрерывного выполнения во время ежедневной операции.

Карантин предоставляет вам варианты перед удалением. В случае неудачи «очистки». Если у вас есть «лучший инструмент» в другом месте. Или если вам все еще нужны все зараженные файлы. (для анализа, восстановления данных)


1
2017-07-07 14:32





Иногда антивирусы могут считать ваши важные файлы вредоносными, и вместо автоматического их удаления они помещают в карантин, где они не могут выполнять или получать доступ к вашим файлам и уведомлять вас о своих действиях.


0
2017-07-10 09:47



Добро пожаловать в Суперпользователя! Этот ответ не добавляет ничего нового в поток. Пожалуйста, прочитайте другие ответы, прежде чем отправлять что-то в качестве ответа. - rahuldottech