Чому антивірусне програмне забезпечення не повністю видаляє віруси, зловмисне програмне забезпечення тощо, а замість них карантинує? Чи не краще повністю позбутися їх? Чому? І як я можу їх видалити вручну?
Чому антивірусне програмне забезпечення не повністю видаляє віруси, зловмисне програмне забезпечення тощо, а замість них карантинує? Чи не краще повністю позбутися їх? Чому? І як я можу їх видалити вручну?
Відповіді:
Віруси та шкідливі програми не небезпечні, якщо не виконуються.
Файл у карантині користувач не може виконувати, і шкідливий код (вірус чи зловмисне програмне забезпечення ) не має можливості діяти. Якщо вірус / зловмисне програмне забезпечення буде видалено, його буде негайно видалено.
Якщо ні, файл буде перенесено на карантин.
Для цього є різні причини :
Можливість вивчення вірусу антивірусною компанією або індивідуалізація іншого комп’ютера із зараженням (давайте уявимо, у вас файл, атакований вірусом. Його підпис, md5sum
зміни. У вас один і той самий файл на багатьох комп’ютерах. Якщо підпис той самий, ви ви можете здогадатися, що вони атакуються. Якщо ви зареєструєтесь у ваших резервних копіях, ви зможете знайти перший раз, коли вірус діяв).
Зауважте: історично "карантена" була періодом 40-денної ізоляції для кораблів і людей перед в'їздом у місто, щоб запобігти розповсюдженню Чорної смерті, щоб побачити, розвивається чи ні вірус. На наших комп’ютерах карантин - це просто безпечне місце, коли слід тримати неактивні файли підозрюваних, не дотримуючись жодних дій вірусу.
У карантині може бути навіть виконаний файл, який змінюється.
Уявіть, що у вас є програма, яку ви перекомпілюєте, або програма з відкритим кодом, яка оновлюється не звичайними способами Windows: антивірус може помічати дії (запис) у exe
файлі -cutable та помістити його в карантин.
Більше того, оскільки є деякі файли з активним вмістом (як, наприклад, Word або eXcel макрос ...), деякі антивіруси можуть помітити відмінності у виконуваних частинах та інтерпретувати файли, що викликані дією вірусу.
Якщо у вас однакова версія файлу, атакованого вірусом різними способами , можна (теоретично) відновити файл шляхом схрещування та аналізу даних цих версій.
Подальше пояснення
Подумайте як вірус і антивірус, щоб зрозуміти, чому існує карантин, чому можуть бути помилкові позитиви та чому це бій, який триває щодня.
Вірус (або зловмисне програмне забезпечення ) - це компільований код, який виконує мету, для чого було запрограмовано.
Як складений код, це двійковий (як правило), а не текст (як те, що ви читаєте). Він повинен розповсюджувати себе та виконувати деякі домашні завдання (місія, технічно корисна навантаження ), не обов'язково одночасно (це збільшує можливість поширення інфекції до її виявлення).
Як вірус може поширюватися і бути знищеним?
Просто він може перезаписати частину вихідного коду ( exe
, dll
, com
... файли) і помістити свій код замість.
Приклад стародавнього вірусу DOS, який діє в такому режимі .
Недоліком є те, що оригінальна програма може перестати працювати, і вірус може бути виявлений швидше (Наприклад: "... привіт, моя програма не працює ... дивні речі відбуваються ... чи можете ви допомогти? - Так, сер, у вас є вірус " ).
Він може скопіювати початкову частину файлу для зараження в кінці, після того, як він може поставити себе замість першої частини. Отже, коли ви виконуєте програму, вірус спочатку виконується, і лише потім програма виконується ... Більш розумним варіантом є скопіювати себе в кінці файлу та поставити стрибок до кінця на початку файлу ( і назад до його початку в кінці) ... Недолік - антивірус може шукати код вірусу (колись відомий) і легко знаходити його. Це сталося з вірусом Каскад у 80-х-90-х роках ...
Він може бути складений з частин, і він ( зауважте, що він не може) міняти свою форму і ховатися в різних частинах програми, переміщувати їх, шифрувати та кодувати. Кожного разу він може інфікувати новий файл по-іншому. Тому антивірус може знаходити залишки лише на відбитках пальців - щодня його ідентифікувати важче.
Тепер ви пам'ятаєте, що вірус - це, як правило, двійковий код? Ну, і відбитки пальців теж.
Оскільки вони є не повним вірусом, а лише кількома байтами, може статися, що частина стисненого файлу, файлу даних чи зображення має однакові байти одного з багатьох відомих відбитків вірусів - отже, помилковий позитив.
Заключна примітка: не всі віруси планували пошкодити, але більшість з них це роблять, фактично .
З фактичним використанням комп’ютерів з банківськими рахунками та рахунками для оплати, це вже не здається настільки смішним, як зображення вище.
Програми проти зловмисного програмного забезпечення пропонують карантинний варіант, який за замовчуванням часто вмикається з двох причин:
З тієї ж причини, що (більшість) урядів арештовують підозрюваних злочинців замість того, щоб розстрілювати їх на вулиці при найменшій провокації:
Ви хочете дати шансу підозрюваному захиститися, якщо вони насправді взагалі не вчинили жодного злочину. І навіть якщо вони вчинили злочин, ви, мабуть, хочете дізнатися про нього все.
Віруси (наприклад) не обов'язково є "автономним" двійковим файлом (.exe). Традиційно багато з них «прив’язуються» до (багатьох) звичайних виконуваних файлів. (звідси вибір слова: "заразити")
Тому "видалення" зловмисного програмного забезпечення - не єдиний варіант. Багато АВ пропонують можливість "очистити" заражені файли. (видаліть вірусну частину з нормальних програмних файлів. Залиште звичайну програму там, де вона є.)
"Поширення інфекції" тоді не базуватиметься на "запущенні зловмисного програмного забезпечення" (видимий процес .exe) - а на основі запуску будь-якої "звичайної програми" (Word, Excel). (або відкрити звичайний документ із тими)
Переміщення «нормального, але зараженого» програмного файлу до місця карантину - це перший крок, щоб зупинити поширення інфекції. Там менше шансів на постійне виконання під час щоденної роботи.
Карантин надає варіанти перед видаленням. У випадку, якщо "прибирання" не вдалося. У випадку, якщо у вас є "кращий інструмент" десь в іншому місці. Або на випадок, якщо вам все-таки потрібні всі заражені файли. (для аналізу, відновлення даних)
Іноді антивіруси можуть вважати ваші важливі файли шкідливими, а замість автоматичного видалення їх карантинують там, де вони не можуть виконати або отримати доступ до ваших файлів, і сповістять вас про його дії.
docx
файли, створені у польській версії Word, як шкідливі. Я сам не використовую ClamWin, але, мабуть, ті, хто це робив, були вдячні за карантин.