Почему антивирусное программное обеспечение не удаляет вирусы, вредоносные программы и т. Д., А вместо этого помещает их в карантин?

20608
Sardar_Usama

Почему антивирусное программное обеспечение не полностью удаляет вирусы, вредоносные программы и т. Д., А вместо этого помещает их в карантин? Не лучше ли полностью избавиться от них? Зачем? И как я могу удалить их вручную?

122
Несколько недель назад ClamWin AV начал обнаруживать все файлы `docx`, созданные в польской версии Word, как вредоносные. Я сам не пользуюсь ClamWin, но, думаю, те, кто это сделал, были благодарны за карантин. gronostaj 8 лет назад 123
Это обсуждение породило [связанный с Sec.SE вопрос] (http://security.stackexchange.com/q/129097/54376). Ben N 8 лет назад 10
Как насчет ложных срабатываний? EKons 8 лет назад 0
Почти каждая отдельная антивирусная программа, которую я использовал, позволяет вам выбирать, что происходит при обнаружении конкретной угрозы (игнорирует ли она, помещает в карантин или удаляет подозрительный файл ...). Breakthrough 8 лет назад 5
Тем, кто просит закрыть этот вопрос как _opinion based_: __, есть причины поместить файлы в карантин, которые не основаны на мнениях: ложное срабатывание, возможность в будущем восстановить файл, частичное восстановление зараженного файла, возможность изучения вируса. .__ Выбор _ сохранять или не сохранять_ может быть в конечном итоге личным, даже если он не является полностью произвольным: действительно, если файл является распределенным (программная часть), его можно скопировать / загрузить из безопасного источника и заменить оригинал без необходимости хранить зараженную копию. Нет шансов вместо того, что сделано нами (здесь личное) Hastur 8 лет назад 8
Много лет назад пакет AV, имя которого я не буду называть (* cough * Symantec * cough *), решил пометить сотни системных DLL-файлов как зараженные во время обычной ночной проверки. Естественно, что карантинная половина операционной системы не прошла успешно после перезагрузки Windows. Машина была полностью заложена и не могла быть загружена даже в безопасном режиме. Поэтому мне пришлось вынуть HD-диск из машины, вставить его в другую машину в качестве второго диска и переместить библиотеки DLL туда, где они были. Это заняло целый день. Подумайте, что случилось бы, если бы эти файлы были удалены, а не помещены на карантин. Carey Gregory 8 лет назад 6
@ Удивительно, но большинство AV-файлов, которые я использовал, фактически полностью разделяют обнаружение и удаление. Используемые мной настройки позволяют вам выбирать между «Игнорировать» и «Карантин» при обнаружении, с отдельной настройкой «Удалить элементы в Карантин через __ дней ". Никогда не видел опцию немедленного удаления потенциально нежелательного / вредоносного файла. WorseDoughnut 8 лет назад 0
@WorseDoughnut Microsoft Security Essentials имеет только карантин и удаление. Breakthrough 8 лет назад 0

5 ответов на вопрос

135
Hastur

Вирусы и вредоносные программы не опасны, если не выполняются.
Файл в карантине не может быть выполнен пользователем, и вредоносный код (вирус или вредоносная программа ) не имеет возможности действовать. Если вирус / вредоносная программа является удаляемой, она будет немедленно удалена.
Если нет, файл будет перемещен в карантин.

Для этого есть разные причины :

  • Ложно-положительный (как подчеркивают и другие ответы, см. Ниже в разделе « Дальнейшее объяснение» ).
  • Возможность в будущем восстановить файл (вирус добавляет свой код в исходный файл и куда-то перемещает / криптует / скрывает часть исходного кода. В настоящее время восстановить файл невозможно, но, возможно, в ближайшее время это произойдет).
    Действительно, если файл является уникальным (например, созданным владельцем компьютера), и он каким-то образом ценен, пользователь может найти способ восстановить все части, которые еще можно восстановить из него. Часть диссертации (или изображения) всегда лучше, чем ничего.

  • Возможность изучения вируса антивирусной компанией или выделения вируса на другой компьютер (представим, что у вас есть файл, атакованный вирусом. Его сигнатура md5sumменяется. У вас один и тот же файл на многих компьютерах. Можно предположить, что они атакованы. Если вы проверите свои резервные копии, вы можете найти первый раз, когда вирус действовал).
    Примечание: исторически «карантина» была периодом 40-дневной изоляции для кораблей и людей перед входом в город, чтобы предотвратить распространение Черной смерти, чтобы увидеть, развивается ли вирус. На наших компьютерах карантин - это просто безопасное место для хранения неактивных подозрительных файлов без наблюдения за действиями вируса.

  • На карантин может попасть даже исполняемый файл, который изменился.
    Представьте, что у вас есть программа, которую вы перекомпилируете, или программа с открытым исходным кодом, которая обновляется не обычными способами Windows: антивирус может замечать действия (запись) в exe-cutable файле и помещать его в карантин.
    Более того, поскольку существуют некоторые файлы с активным содержимым (например, макрос Word или eXcel ...), некоторые антивирусы могут обнаруживать различия в исполняемых частях и интерпретировать их как результат действия вируса.

  • Если одна и та же версия файла атакована вирусом различными способами, можно (теоретически) восстановить файл путем скрещивания и анализа данных этих версий.

Дальнейшее объяснение
Подумайте, как вирус и антивирус, чтобы понять, почему существует карантин, почему могут быть ложные срабатывания и почему эта битва продолжается каждый день.

Вирус (или вредоносная программа ) - это скомпилированный код, который выполняет цель, для которой был запрограммирован.
Как скомпилированный код, он является двоичным (обычно), а не текстовым (как то, что вы читаете). Он должен распространяться сам и выполнять некоторую домашнюю работу (миссию, технически полезную нагрузку ), необязательно в одно и то же время (это увеличивает вероятность распространения инфекции до ее обнаружения).

Как вирус может распространиться и быть запущенным?

  • Просто он может перезаписать часть исходного кода ( exe, dll, com... файлы) и поместить свой код вместо.

    DOS virus
    Пример древнего вируса DOS, который действует в таком режиме .
    Недостатком является то, что оригинальная программа может перестать работать, и вирус может быть обнаружен быстрее (например: «... привет, моя программа не работает ... происходят странные вещи ... вы можете помочь? - Да, сэр, у вас есть вирус " ).

  • Он может скопировать начальную часть файла, которая будет заражена в конце, после того, как он может поместить себя вместо первой части. Таким образом, когда вы запускаете программу, сначала запускается вирус, и только затем программа запускается ... Более разумный вариант - скопировать себя в конец файла и поместить переход в конец файла в начале файла ( и одно возвращение к его началу в конце) ... Недостатком является то, что антивирус может искать код вируса (когда-то известный) и легко его находить. Это произошло в Каскадном вирусе в 80-х-90-х годах ...

    Cascade virus

  • Он может состоять из частей, и он ( обратите внимание, не это ) может изменять свою форму и прятаться в разных частях программы, перемещать их, шифровать и шифровать. Каждый раз он может заразить новый файл другим способом. Поэтому антивирус может обнаружить только следы от отпечатков пальцев - с каждым днем ​​его все труднее идентифицировать.

Теперь, вы помните, что вирус (обычно) двоичный код? Ну и отпечатки пальцев тоже.
Поскольку они не являются полным вирусом, а всего лишь несколькими байтами, может случиться, что часть сжатого файла, файла данных или изображения будет иметь те же байты, что и один из множества известных отпечатков вирусов - отсюда и ложное срабатывание.

Заключительное замечание: не все вирусы планировалось нанести ущерб, но большинство из них делают это де-факто .
С фактическим использованием компьютеров с банковскими счетами и счетами для оплаты, это выглядит не так смешно, как на изображениях выше.

+1 об этом специально из-за * будущей возможности восстановить файл * - когда-то это был стандартный курс работы для антивирусного программного обеспечения! fluffy 8 лет назад 4
"_homework_" - похоже, что автокоррекция привела вас туда. Но я не могу угадать, какое слово ты действительно имел в виду. Распространенным словом было бы _payload_, но я не ожидаю, что оно будет автоматически исправлено в домашнюю работу. MSalters 8 лет назад 0
@MSalters. Нет, к сожалению, нет автокоррекции. Я говорил образно (или, по крайней мере, пытался): вирус распространяется из файла в другой (возможно, на другой компьютер ...). Затем он находится в файле (он находит дом). Затем он ждет ... затем он выполняет то, чему его учили (запрограммировано). Отсюда термин «домашнее задание» _ Вы можете прочитать его как «миссия», это должно быть более понятно, но это больше похоже на то, что вы видите вирус как солдат. Кстати, спасибо за место, ответ обновлен. Hastur 8 лет назад 3
@Hastur: Может быть полезно указать, какие термины вы придумали сами, а какие являются стандартными. Ваше объяснение подтверждает, что вы действительно говорите о _payload_. См. Также Википедию: «Не все вирусы несут в себе _деструктивную полезную нагрузку_. Части вируса: механизм заражения, триггер, полезная нагрузка». MSalters 8 лет назад 2
@MSalters ... и за это вы _downvoted_ ответ!?! Я не говорю о технической аудитории (которая, вероятно, просто знает причины карантина). По этой же причине я не использовал `EB 7F` или` JMP SHORT`, чтобы сказать, что вирус _jumps_ из одного места в другое. Вместо этого я решил использовать образную речь без слова, которое во многих словарях даже не упоминается с таким значением [[M.Webster L.] (http://www.learnersdictionary.com/definition/payload), [Collins] (http://www.collinsdictionary.com/dictionary/english/payload)] ... энтузиаст `! -> `технически, не всегда по крайней мере. Hastur 8 лет назад 2
Ах да, 1990, действительно "древние" времена ... Ƭᴇcʜιᴇ007 8 лет назад 0
@Hastur Лучше, чем 386 SX-16 (для "sux"), я обновил свой 8088 до. ;) Ƭᴇcʜιᴇ007 8 лет назад 0
@ Ƭᴇcʜιᴇ007 OT Обновлено: «Не говори мне»: Ti994 / a ...;) действительно _Ancient_: D ... и я получаю Каскад ... (круто). Парсек навсегда !!!! [смотрите здесь] (http://www.8bit-homecomputermuseum.at/repair/ti99_joystick/ti99_joystick_refresh_01.jpg) Hastur 8 лет назад 0
@Hastur Эй, у меня тоже был Ti99 / 4a. [Parsec] (http://www.videogamehouse.net/parsec.html) навсегда !. ;) Ƭᴇcʜιᴇ007 8 лет назад 0
Мне любопытно о части "он (примечание не это)". О чем это? Alpha 8 лет назад 41
В фразе «В карантине даже исполняемый файл может быть завершен», я не могу понять, что означает слово «готово». Вы можете уточнить это? Tanner Swett 8 лет назад 3
@ Альфа (и другие ...) Это личное, связано с тем, как я "чувствую" такие вирусы. Преобразователи выполняли основные задачи вслепую, без какого-либо проявления блеска. Но затем они начали изменять себя, скрывать и оставаться _sleeper_, шифровать себя, каким-то образом развиваться ... - варианты, которые легко найти, не имели возможности выжить, сопротивляясь вашим попыткам _убить_ их; смотри: я использовал _ "выжить" и "убить" _, неявно я начинаю распознавать их как достоинство как выражение интеллекта, как если бы они были живы ... так что не больше, но __he __ или __she__, если вы предпочитаете , Hastur 8 лет назад 4
... но различать __he__ и __she__ означает дать им даже символ, и на данный момент это слишком много для моего _figurative_ разговора, даже если я должен признать, что некоторые из них, кажется, ведут себя как _he_, а некоторые другие больше похожи на _she_. :-) Hastur 8 лет назад 3
@TannerSwett Полагаю, я забыл "вверх"; закончить в смысле конец. В более ранней версии это было _ «На карантин может закончиться даже исполняемый файл, который изменился.» _. После редактирования я пропускаю этот откат. Благодарю. Я собираюсь обновить его. Hastur 8 лет назад 0
«Вирусы и вредоносные программы не опасны, если не выполнены». Это вводит в заблуждение, я считаю. Точнее, они не были бы опасны, если бы их никогда не казнили, ни в прошлом, ни в будущем. Опасно ли для человека распространение вируса, даже если он никогда не был запущен? Это определенно. Является ли целесообразным / разумным когда-либо предполагать, что существующий вирус никогда не будет запущен? Нет. Вирус, который не существует, более безопасен, чем вирус, который существует, потому что всегда есть ненулевой шанс, что он может быть выполнен в какой-то момент времени. Brad Thomas 8 лет назад 1
@BradThomas `tldr`: если вирус (или злоумышленник) имеет доступ к базе данных и файлам карантина, это означает, что _he_ имеет доступ ко всей вашей системе и ему не нужно использовать файлы на карантине. Обратите внимание, что коробка Пандоры может оказаться даже пустой. Действительно, чтобы избежать такого подвига, антивирусы используют отпечатки пальцев вместо целых вирусных кодов. Если вы говорите о человеческой материальной ошибке / преднамеренном действии (Unix говорит `kill -9 1` или` rm -f / `теперь исправлено, но когда-то окончательно), еще раз, нет необходимости искать и использовать закрытое файлы в карантинной зоне. (это продолжается ...) Hastur 8 лет назад 0
Время и вероятность. Возьмите оригинальный DOS-вирус: сегодня он не может быть запущен под Windows или Linux. Dosbox, вероятно, тоже это остановит. Технологические достижения заставляют ограничивать срок действия вируса. Я полагаю, что оригинальная идея появляется потому, что пришло ее время: через некоторое время она может появиться в другом месте и сделать ненужным уничтожение вируса (и его создателя). Вместо этого, если вы научитесь побеждать, вы сможете противопоставить даже новым. Представьте себе мальчика, пораженного вирусом, который теряет все данные из своей любимой игры. Когда он вырастет, он будет использоваться для безопасного резервного копирования данных. Hastur 8 лет назад 0
«Вирусы и вредоносные программы не опасны, если их не выполнять», это явно ложно. Вредоносное ПО может существовать в виде вредоносного файла полезной нагрузки, в противном случае доброкачественного файла (например, уязвимости в исполнении JPEG в Windows / GDI). Важно то, ** как ** файл разделен на две части - если наивный AV просто переместит плохой файл JPEG в другую папку на диске или, возможно, поместит его в zip-файл, то ничто не помешает Windows или другой программе прочитать файл и запуск ошибки. Dai 8 лет назад 1
@Dai Да, но это все еще исполнение. Никто не говорит о двойном щелчке файла, только выполнение кода вируса. Если код ничего не выполняет, вирус не может работать (именно поэтому мы и называем его вирусом, по аналогии с биологическими вирусами). Luaan 8 лет назад 1
@TuringTux установить `sl`. `` ;-) Hastur 8 лет назад 1
Подумайте о том, чтобы изменить этот принятый ответ, чтобы также учесть тот факт, что некоторые люди собирают образцы вирусов по разным причинам. Лично я держу несколько штаммов CodeRed в моей системе изолированно и в ОЧЕНЬ благоприятном формате. Я также держу официальные образцы EICAR для ударов ногами. Очевидно, я должен сказать всем AV-пакетам не сканировать определенные каталоги, потому что они любят помещать эти файлы в карантин. Если бы AV-пакет полностью удалил их, я был бы крайне недоволен, потому что это уничтожение данных. CubicleSoft 8 лет назад 0
Вы можете изменить этот принятый ответ, чтобы учесть тот факт, что существует несколько сообществ по торговле примерами вирусов и вредоносных программ. Люди собирают, а затем обмениваются образцами вирусов. «У меня такая-то разновидность вредоносных программ и я хочу такую-то разновидность вредоносных программ». Некоторые люди собирают монеты, бейсбольные карточки и т. Д. Другие люди собирают образцы компьютерных вирусов / вредоносных программ. Фактически, многие из поставщиков AV создали огромные части своих баз данных с образцами из этих сообществ. Удаление вместо карантина породило бы недоброжелательность и недоверие среди членов. CubicleSoft 8 лет назад 0
89
Julie Pelletier

Приложения защиты от вредоносного ПО предоставляют параметр карантина, который часто включен по умолчанию по двум причинам:

  1. Сохраните резервную копию предметов, определенных как угрожающие в случае ложного срабатывания. Хотя это не очень часто встречается, я видел случаи ложных срабатываний на многих различных легальных файлах приложений и драйверах.
  2. Наличие предмета в карантине может позволить его лучше исследовать. Тот факт, что он соответствует сигнатуре вредоносного ПО, не означает, что он просто похож, но может иметь и другие особенности.
Кроме того, если вредоносная программа внедрилась в файл, который вам действительно нужен, например, в документ Word или аналогичный, тогда прямое удаление может быть худшим вариантом с точки зрения пользователей. Карантин, по крайней мере, дает вам возможность, хотя и рискованно, вернуть содержимое. Mokubai 8 лет назад 39
Кроме того, анти-вредоносное программное обеспечение может иметь другое понимание, чем вы в классификации. Известно, что некоторые антивирусные программы обнаруживают инструменты SysAdmin как вредоносные программы, и я обнаружил, что некоторые из них удаляют половину моей USB-карты памяти, не спрашивая, когда я подключаю ее к компьютерам определенных компаний и школ. netcat, wireshark и т. д. являются известными кандидатами. Я также видел людей, хранящих свою единственную копию своей магистерской диссертации на USB-карте. Я надеюсь, что антивирусный сканер не обнаружит ложное срабатывание и удалит его без запроса. H. Idden 8 лет назад 8
Не очень часто? Я думаю, что почти все обнаружения моего антивируса были ложными срабатываниями. Oriol 8 лет назад 13
@Oriol: Это ** может ** указывать на то, что вы, возможно, захотите взглянуть на другой антивирус, но основной причиной выбора одного из них является его способность блокировать новые угрозы и исправлять те, которые все-таки прошли. Выбор - это баланс между двумя. Вы не можете протестировать антивирус, будучи осторожным, потому что осторожность снижает потребность в антивирусе. Julie Pelletier 8 лет назад 1
@JuliePelletier На соотношение ложных срабатываний сильно влияют действия пользователя. У меня никогда не было вирусов, вредоносных программ или чего-то подобного, потому что я очень осторожен. Это автоматически делает большинство (если не все) обнаружения ложными срабатываниями. Я все еще использую антивирус конечно :). Mixxiphoid 8 лет назад 6
@Mixxiphoid: у меня установлен AV для тех редких случаев, когда я делаю рискованные загрузки, но большую часть времени он выключен. Julie Pelletier 8 лет назад 0
@Mokubai Это интересная идея, что вирус может вызвать хаос, добавив сигнатуру viri в легитимные файлы - заставляя av делать грязную работу. emory 8 лет назад 3
@emory ... Ух ты. Кто-то должен написать (с ошибками, легко победить, не распространять!) Реализацию концепции и отправить ее антивирусным компаниям. wizzwizz4 8 лет назад 1
72
Lightness Races in Orbit

По той же причине, по которой (большинство) правительства арестовывают подозреваемых преступников, а не расстреливают их на улице при малейшей провокации:

Вы хотите дать подозреваемому шанс защитить себя, если он на самом деле не совершил никакого преступления. И, даже если они совершили преступление, вы, вероятно, хотите узнать все об этом.

По этой аналогии должен быть хоть какой-то антивирус, который удаляет по умолчанию ... PlasmaHH 8 лет назад 38
@LightnessRacesinOrbit KAV15 больше не «существует»; KAV16 был выпущен в 2015 году для совместимости с Windows 10. EKons 8 лет назад 0
@ ΈρικΚωνσταντόπουλος: [Какое нелепое утверждение] (https://usa.kaspersky.com/downloads/product-downloads/kaspersky-anti-virus/previous-versions). Windows 7 также "не существует"? Lightness Races in Orbit 8 лет назад 5
@LightnessRacesinOrbit KAV15 больше не ** "** существует **" **; KAV16 был выпущен в 2015 году, чтобы быть совместимым с Windows 10. Я поставил «существовать» в кавычках. Он не совместим с Windows 10 и умрет, когда умрет 8.1. EKons 8 лет назад 1
@ ΈρικΚωνσταντόπουλος: Люди будут использовать Windows 7 и 8 в течение длительного времени. Нет ничего «несуществующего» в программном обеспечении годовалого. Не будь таким глупым! Lightness Races in Orbit 8 лет назад 9
@LightnessRacesinOrbit На самом деле, использование любой ОС после окончания срока ее эксплуатации для производства опасно и должно избегаться в максимально возможной степени. EKons 8 лет назад 3
@ ΈρικΚωνσταντόπουλος Windows 7 продлил поддержку до 2020 года, приятель; Windows 8 до 2023 года. Я изо всех сил пытаюсь определить вашу точку зрения. Что это? Lightness Races in Orbit 8 лет назад 14
@LightnessRacesinOrbit Это похоже на использование Windows XP после 8 апреля 2014 года. Это просто опасно, особенно когда ОС Windows, так как вирусы * будут * направлены туда. Когда расширенная поддержка Windows 8.1 с пакетом обновления 1 (SP1) закончится, на нее начнут нацеливаться вирусы. EKons 8 лет назад 0
@ ΈρικΚωνσταντόπουλος Да, в 2023 году. Какова ваша точка зрения? Lightness Races in Orbit 8 лет назад 20
(заменив странно-молча удаленный комментарий, большое спасибо, модераторы) @PlasmaHH Антивирус Касперского 2015 = США Lightness Races in Orbit 8 лет назад 2
1
user18099

Вирусы (например) не обязательно являются «автономным» двоичным файлом (.exe). Традиционно многие из них «присоединяются» к (многим) нормальным исполняемым файлам. (отсюда и выбор слова: «заразить»)

Поэтому «удаление» вредоносного файла - не единственный вариант. Многие AV предлагают возможность «очистить» зараженные файлы. (удалите часть вируса из обычных файлов программы. Оставьте обычную программу там, где она есть.)

В таком случае «распространение инфекции» будет основано не на «запуске вредоносного ПО» (видимый процесс .exe), а на запуске любой «нормальной программы» (Word, Excel). (или откройте с ними обычный документ)

Перемещение «нормального, но зараженного» файла программы в место карантина - это первый шаг к прекращению распространения инфекции. Там, менее вероятно, будет выполняться непрерывно во время каждодневной операции.

Карантин дает вам варианты, до удаления. На случай, если «очистка» не удалась. Если у вас есть «лучший инструмент» где-то еще. Или если вам все еще нужны все эти зараженные файлы. (для анализа, восстановления данных)

0
user615537

Просто иногда антивирусы могут рассматривать ваши важные файлы как вредоносные, и вместо автоматического удаления они помещают их в карантин, где они не могут выполнить ваши файлы или получают к ним доступ, и уведомляют вас о своих действиях.

Добро пожаловать в Супер пользователя! Этот ответ не добавляет ничего нового в ветку. Пожалуйста, прочитайте другие ответы, прежде чем публиковать что-то в качестве ответа. rahuldottech 8 лет назад 0

Похожие вопросы