Dlaczego oprogramowanie antywirusowe nie usuwa całkowicie wirusów, złośliwego oprogramowania itp., Lecz je poddaje kwarantannie? Czy nie lepiej się ich całkowicie pozbyć? Dlaczego? Jak mogę je ręcznie usunąć?
Dlaczego oprogramowanie antywirusowe nie usuwa całkowicie wirusów, złośliwego oprogramowania itp., Lecz je poddaje kwarantannie? Czy nie lepiej się ich całkowicie pozbyć? Dlaczego? Jak mogę je ręcznie usunąć?
Odpowiedzi:
Wirusy i złośliwe oprogramowanie nie są niebezpieczne, jeśli nie zostaną wykonane.
Plik w kwarantannie nie może być wykonany przez użytkownika, a złośliwy kod (wirus lub złośliwe oprogramowanie ) nie ma możliwości działania. Jeśli wirus / złośliwe oprogramowanie można usunąć, zostanie ono natychmiast usunięte.
Jeśli nie, plik zostanie przeniesiony do kwarantanny.
Istnieją różne przyczyny tego:
Możliwość zbadania wirusa przez firmę antywirusową lub zindywidualizowania innego komputera za pomocą infekcji (wyobraźmy sobie, że plik został zaatakowany przez wirusa. Jego podpis md5sum
zmienia się. Masz ten sam plik na wielu komputerach. Jeśli podpis jest taki sam, to może zgadnąć, że zostały zaatakowane. Jeśli zaznaczysz swoje kopie zapasowe, możesz znaleźć pierwszy raz, kiedy wirus zadziałał).
Uwaga: historycznie „kwarantanna” była okresem 40-dniowej izolacji statków i ludzi przed wejściem do miasta, aby zapobiec rozprzestrzenianiu się Czarnej Śmierci, aby sprawdzić, czy wirus się rozwinie. Na naszych komputerach kwarantanna jest po prostu bezpiecznym miejscem, w którym można pozostawić nieaktywne podejrzane pliki, nie obserwując żadnych działań wirusa.
W kwarantannie może skończyć się nawet plikiem wykonywalnym, który zostanie zmieniony.
Wyobraź sobie, że masz program, który rekompilujesz, lub program typu open source, który nie jest aktualizowany zwykłymi sposobami systemu Windows: program antywirusowy może exe
wykryć działania (pisanie) w pliku do cięcia i umieścić go w kwarantannie.
Co więcej, ponieważ istnieją pliki z aktywną zawartością (np. Makro Word lub eXcel ...), niektóre programy antywirusowe mogą wykryć różnice w częściach wykonywalnych i interpretować je jako wywołane działaniem wirusa.
Jeśli masz tę samą wersję pliku zaatakowaną przez wirusa na różne sposoby , (teoretycznie) można odzyskać plik, krzyżując i analizując dane tych wersji.
Dalsze wyjaśnienia
Pomyśl jak wirus i program antywirusowy, aby zrozumieć, dlaczego kwarantanna istnieje, dlaczego mogą być fałszywe alarmy i dlaczego ta bitwa trwa codziennie.
Wirus (lub złośliwe oprogramowanie ) to skompilowany kod, który wykonuje cel tego, do czego został zaprogramowany.
Jako skompilowany kod jest binarny (zwykle), a nie tekstowy (jak to, co czytasz). Musi się propagować i odrobić pracę domową (misję, technicznie ładunek ), niekoniecznie w tym samym czasie (zwiększa to możliwość rozprzestrzeniania się infekcji, zanim zostanie wykryta).
W jaki sposób wirus może się rozprzestrzeniać i być uruchamiany?
Po prostu może zastąpić część pierwotnego kodu ( exe
, dll
, com
... pliki) i umieścić swój kod zamiast.
Przykład starożytnego wirusa DOS działającego w takim trybie .
Wadą jest to, że oryginalny program może przestać działać, a wirus może zostać wykryty szybciej (np. „Cześć, mój program nie działa… dzieją się dziwne rzeczy… czy możesz pomóc? - Tak, proszę pana, masz wirus ” ).
Może skopiować początkową część pliku, który ma zostać zainfekowany, na końcu, po czym może umieścić się zamiast pierwszej części. Więc kiedy uruchamiasz program, wirus jest najpierw uruchamiany, a dopiero potem program jest wykonywany ... Mądrzejszym wariantem jest skopiowanie się na końcu pliku i umieszczenie przeskoku na końcu na początku pliku ( i jeden powrót do początku na końcu) ... Wadą jest to, że antywirus może wyszukiwać kod wirusa (kiedyś znany) i łatwo go znaleźć. Stało się tak w wirusie Cascade w latach 80. i 90. XX wieku ...
Może składać się z części, a on ( nie zauważaj ) może zmieniać swój kształt i ukrywać się w różnych częściach programu, przenosić je, szyfrować i szyfrować. Za każdym razem może zainfekować nowy plik w inny sposób. Dlatego program antywirusowy może znaleźć jedynie odciski palców - każdego dnia trudniej go zidentyfikować.
Czy pamiętasz, że wirus to (zwykle) kod binarny? Odciski palców też są.
Ponieważ nie są to pełne wirusy, ale tylko kilka bajtów, może się zdarzyć, że część skompresowanego pliku, pliku danych lub obrazu ma te same bajty jednego z wielu znanych odcisków palców wirusów - stąd fałszywy wynik dodatni.
Ostateczna uwaga: nie wszystkie wirusy miały na celu uszkodzenie, ale większość z nich to robi, de facto .
Przy rzeczywistym użyciu komputerów z kontami bankowymi i rachunkami do zapłaty nie wydaje się to już tak zabawne, jak na powyższych obrazkach.
Aplikacje antywirusowe zapewniają opcję kwarantanny, która często jest domyślnie włączona z dwóch powodów:
Z tego samego powodu, dla którego (większość) rządy aresztują podejrzanych przestępców, zamiast strzelać do nich na ulicy przy najmniejszej prowokacji:
Chcesz dać podejrzanemu szansę na obronę, na wypadek gdyby w rzeczywistości nie popełnił on żadnego przestępstwa. I nawet jeśli popełnili przestępstwo, prawdopodobnie chcesz się o tym dowiedzieć.
Wirusy (na przykład) niekoniecznie są „samodzielnymi” plikami binarnymi (.exe). Tradycyjnie wiele z nich „przywiązuje się” do (wielu) normalnych plików wykonywalnych. (stąd wybór słowa: „zarażać”)
Dlatego „usunięcie” pliku złośliwego oprogramowania nie jest jedyną opcją. Wiele AV oferuje opcję „czyszczenia” zainfekowanych plików. (usuń część wirusa z normalnych plików programu. zostaw normalny program tam, gdzie jest).
„Rozprzestrzenianie się infekcji” nie opierałoby się wówczas na „uruchomieniu złośliwego oprogramowania” (widoczny proces .exe) - lecz na uruchomieniu dowolnego „normalnego programu” (Word, Excel). (lub otwórz zwykły dokument za pomocą tych)
Przeniesienie „normalnego, ale zainfekowanego” pliku programu do miejsca kwarantanny jest pierwszym krokiem do powstrzymania rozprzestrzeniania się infekcji. Tam jest mniej prawdopodobne, że będzie wykonywana w sposób ciągły podczas codziennej operacji.
Kwarantanna daje opcje przed usunięciem. W przypadku niepowodzenia „czyszczenia”. Jeśli masz „lepsze narzędzie” w innym miejscu. Lub jeśli nadal potrzebujesz wszystkich tych zainfekowanych plików. (do analizy, odzyskiwania danych)
Czasami programy antywirusowe mogą uznać twoje ważne pliki za złośliwe i zamiast automatycznie je usuwać poddaje je kwarantannie tam, gdzie nie mogą wykonać plików ani uzyskiwać do nich dostępu, i powiadamia o jego działaniach.
docx
pliki utworzone w polskiej wersji programu Word jako złośliwe. Sam nie używam ClamWin, ale chyba ci, którzy to robią, byli wdzięczni za kwarantannę.