Почему антивирусное программное обеспечение не удаляет вирусы, вредоносные программы и т. Д., А вместо этого помещает их в карантин?

Question

Почему антивирусное программное обеспечение не полностью удаляет вирусы, вредоносные программы и т.д., А вместо этого помещает их в карантин? Не лучше ли полностью избавиться от них? Зачем? И как я могу удалить их вручную?

Answer 1

Вирусы и вредоносные программы не опасны, если не выполняются.
Файл в карантине не может быть выполнен пользователем, и вредоносный код (вирус или вредоносная программа) не имеет возможности действовать. Если вирус / вредоносная программа является удаляемой, она будет немедленно удалена.
Если нет, файл будет перемещен в карантин.

Для этого есть разные причины :

• Ложно-положительный (как подчеркивают и другие ответы, см. Ниже в разделе « Дальнейшее объяснение»).
• Возможность в будущем восстановить файл (вирус добавляет свой код в исходный файл и куда-то перемещает / шифрует / скрывает часть исходного кода. В настоящее время восстановить файл невозможно, но, возможно, в ближайшее время это произойдет).
  Действительно, если файл является уникальным (например, созданным владельцем компьютера), и он каким-то образом ценен, пользователь может найти способ восстановить все части, которые еще можно восстановить из него. Часть диссертации (или изображения) всегда лучше, чем ничего.

• Возможность изучить вирус антивирусной компанией или выделить другой компьютер с заражением (предположим, у вас есть файл, атакованный вирусом). Его подпись, md5sum меняется. У вас есть один и тот же файл на многих компьютерах. Если подпись одна и та же, вы можете догадаться, что они атакованы. Если вы проверяете свои резервные копии, вы можете найти первый раз, когда вирус действовал).
  _{Примечание: исторически "карантина" была периодом 40-дневной изоляции для кораблей и людей перед входом в город, чтобы предотвратить распространение Черной смерти, чтобы увидеть, развивается ли вирус. На наших компьютерах карантин - это просто безопасное место для хранения неактивных подозрительных файлов без наблюдения за действиями вируса.}

• На карантин может попасть даже исполняемый файл, который изменился.
  Представьте, что у вас есть программа, которую вы перекомпилируете, или программа с открытым исходным кодом, которая обновляется не обычными способами Windows: антивирус может замечать действия (запись) в exe файле и помещать его в карантин.
  Более того, поскольку существуют некоторые файлы с активным содержимым (например, макрос Word или eXcel ...), некоторые антивирусы могут обнаруживать различия в исполняемых частях и интерпретировать их как результат действия вируса.

• Если одна и та же версия файла подверглась атаке вируса различными способами, можно (теоретически) восстановить файл путем скрещивания и анализа данных этих версий.

Дальнейшее объяснение
Подумайте, как вирус и антивирус, чтобы понять, почему существует карантин, почему могут быть ложные срабатывания и почему эта битва продолжается каждый день.

Вирус (или вредоносная программа) - это скомпилированный код, который выполняет цель, для которой был запрограммирован.
Как скомпилированный код, он является двоичным (обычно), а не текстовым (как то, что вы читаете). Он должен распространяться сам и выполнять некоторую домашнюю работу (миссию, технически полезную нагрузку), необязательно в одно и то же время (это увеличивает вероятность распространения инфекции до ее обнаружения).

Как вирус может распространиться и быть запущенным?

• Просто он может перезаписать часть исходного кода (exe , dll , com ... файлы) и поместить вместо него свой код.

  
  ^{Пример древнего вируса DOS, который действует в таком режиме .}
  Недостатком является то, что оригинальная программа может перестать работать, и вирус может быть обнаружен быстрее (например: «... привет, моя программа не работает ... происходят странные вещи ... вы можете помочь? - Да, сэр, у вас есть вирус ").

• Он может скопировать начальную часть файла, которая будет заражена в конце, после того, как он может поместить себя вместо первой части. Поэтому, когда вы запускаете программу, сначала запускается вирус, и только затем программа запускается ... Более разумный вариант - копировать себя в конец файла и помещать переход до конца в начале файла (и один назад в его начало в конце) ... Недостатком является то, что антивирус может найти код вируса (когда-то известный) и найти его легко. Это произошло в Каскадном вирусе в 80-х-90-х годах ...

  

• Он может состоять из частей, и он (обратите внимание, не это) может изменять свою форму и прятаться в разных частях программы, перемещать их, шифровать и шифровать. Каждый раз он может заразить новый файл другим способом. Поэтому антивирус может обнаружить только остатки отпечатков пальцев - с каждым днем его все труднее идентифицировать.

Теперь, вы помните, что вирус (обычно) двоичный код? Ну и отпечатки пальцев тоже.
Поскольку они не являются полным вирусом, а всего лишь несколькими байтами, может случиться, что часть сжатого файла, файла данных или изображения будет иметь те же байты, что и один из множества известных отпечатков вирусов - отсюда и ложное срабатывание.

Заключительное замечание: не все вирусы планировалось нанести ущерб, но большинство из них делают это де-факто.
С фактическим использованием компьютеров с банковскими счетами и счетами для оплаты, это выглядит не так смешно, как на изображениях выше.

Answer 2

Приложения защиты от вредоносного ПО предоставляют параметр карантина, который часто включен по умолчанию по двум причинам:

1. Сохраните резервную копию предметов, определенных как угрожающие в случае ложного срабатывания. Хотя это не очень часто встречается, я видел случаи ложных срабатываний на многих различных легальных файлах приложений и драйверах.
2. Наличие предмета в карантине может позволить его лучше исследовать. Тот факт, что он соответствует сигнатуре вредоносного ПО, не означает, что он просто похож, но может иметь и другие особенности.

Answer 3

По той же причине, по которой (большинство) правительства арестовывают подозреваемых преступников, а не стреляют в них на улице при малейшей провокации:

Вы хотите дать подозреваемому шанс защитить себя, если он на самом деле не совершил никакого преступления. И, даже если они совершили преступление, вы, вероятно, хотите узнать все об этом.

Answer 4

Вирусы (например) не обязательно являются "автономным" двоичным файлом (.exe). Традиционно многие из них "присоединяются" к (многим) нормальным исполняемым файлам. (отсюда и выбор слова: "заразить")

Поэтому "удаление" вредоносного файла - не единственный вариант. Многие AV предлагают возможность "очистить" зараженные файлы. (удалите часть вируса из обычных файлов программы. Оставьте обычную программу там, где она есть.)

В этом случае "распространение инфекции" будет основано не на "запуске вредоносного ПО" (видимый процесс .exe), а на запуске любой "нормальной программы" (Word, Excel). (или откройте с ними обычный документ)

Перемещение «нормального, но зараженного» файла программы в место карантина - это первый шаг к прекращению распространения инфекции. Там, менее вероятно, будет выполняться непрерывно во время каждодневной операции.

Карантин дает вам варианты, до удаления. На случай, если "очистка" не удалась. Если у вас есть "лучший инструмент" где-то еще. Или если вам все еще нужны все эти зараженные файлы. (для анализа, восстановления данных)

Answer 5

Просто иногда антивирусы могут рассматривать ваши важные файлы как вредоносные, и вместо автоматического удаления они помещают их в карантин, где они не могут выполнить ваши файлы или получают к ним доступ, и уведомляют вас о своих действиях.