เหตุใดซอฟต์แวร์ต่อต้านไวรัสไม่ลบไวรัสมัลแวร์และอื่น ๆ ทั้งหมด แต่แทนที่จะกักกันพวกเขา ไม่ดีกว่าที่จะกำจัดพวกเขาอย่างสิ้นเชิง? ทำไม? และฉันจะลบมันด้วยตนเองได้อย่างไร
เหตุใดซอฟต์แวร์ต่อต้านไวรัสไม่ลบไวรัสมัลแวร์และอื่น ๆ ทั้งหมด แต่แทนที่จะกักกันพวกเขา ไม่ดีกว่าที่จะกำจัดพวกเขาอย่างสิ้นเชิง? ทำไม? และฉันจะลบมันด้วยตนเองได้อย่างไร
คำตอบ:
ไวรัสและมัลแวร์ไม่เป็นอันตรายหากไม่ได้ดำเนินการ
ผู้ใช้ไม่สามารถเรียกใช้ไฟล์ในการกักกันได้และรหัสที่เป็นอันตราย (ไวรัสหรือมัลแวร์ ) ไม่สามารถกระทำได้ หากไวรัส / มัลแวร์สามารถถอดออกได้มันจะถูกลบออกทันที
หากไม่มีไฟล์จะถูกย้ายไปยังการกักกัน
มีสาเหตุที่แตกต่างกันสำหรับสิ่งนี้:
ความเป็นไปได้ในการศึกษาไวรัสโดย บริษัท แอนติไวรัสหรือเพื่อทำการแยกแยะคอมพิวเตอร์เครื่องอื่นที่ติดเชื้อ (ลองจินตนาการว่าคุณมีไฟล์ที่ถูกไวรัสโจมตีลายเซ็นmd5sum
การเปลี่ยนแปลงคุณมีไฟล์เดียวกันในคอมพิวเตอร์หลาย ๆ เครื่องหากลายเซ็นเหมือนกันกับคุณ สามารถเดาได้ว่าจะถูกโจมตีหากคุณตรวจสอบข้อมูลสำรองของคุณคุณสามารถค้นหาครั้งแรกที่ไวรัสทำงาน)
หมายเหตุ: ในอดีต"quarantena"เป็นระยะเวลา 40 วันสำหรับเรือและผู้คนก่อนที่จะเข้าเมืองเพื่อป้องกันการแพร่กระจายของ Black Death เพื่อดูว่าไวรัสพัฒนาหรือไม่ ในคอมพิวเตอร์ของเราการกักกันเป็นเพียงสถานที่ที่ปลอดภัยเพื่อให้ไฟล์ที่น่าสงสัยไม่ทำงานโดยไม่ได้สังเกตการกระทำของไวรัส
ในการกักกันสามารถท้ายแม้ไฟล์ปฏิบัติการที่มีการเปลี่ยนแปลง
ลองนึกภาพว่าคุณมีโปรแกรมที่คุณคอมไพล์ใหม่หรือโปรแกรมโอเพ่นซอร์สที่ไม่ได้อัพเดทผ่านหน้าต่างปกติ: โปรแกรมป้องกันไวรัสสามารถสังเกตเห็นกิจกรรม (การเขียน) ในexe
ไฟล์ที่สามารถตัดได้และเก็บไว้ในที่กักกัน
นอกจากนี้เนื่องจากมีไฟล์บางไฟล์ที่มีเนื้อหาที่ใช้งาน (เช่นมาโคร Word หรือ eXcel ... ) โปรแกรมป้องกันไวรัสบางตัวสามารถมองเห็นความแตกต่างในส่วนที่ปฏิบัติการได้และตีความไฟล์ที่ถูกสร้างโดยการกระทำของไวรัส
หากคุณมีไฟล์เวอร์ชันเดียวกันที่ถูกโจมตีจากไวรัสในรูปแบบที่แตกต่างกันคุณสามารถกู้คืนไฟล์ได้โดยการข้ามและวิเคราะห์ข้อมูลของเวอร์ชันเหล่านี้
คำอธิบายเพิ่มเติม
คิดว่าเหมือนไวรัสและแอนติไวรัสเพื่อให้เข้าใจว่าทำไมการกักกันจึงมีอยู่ทำไมถึงมีผลบวกปลอมและทำไมการต่อสู้ครั้งนี้จึงดำเนินต่อไปทุกวัน
ไวรัส (หรือมัลแวร์ ) เป็นรหัสที่รวบรวมซึ่งดำเนินการตามวัตถุประสงค์สำหรับสิ่งที่โปรแกรมไว้
ในฐานะที่เป็นรหัสที่รวบรวมมันเป็นไบนารี (ปกติ) และไม่ใช่ข้อความ (เหมือนกับสิ่งที่คุณกำลังอ่าน) มันจะต้องทำการแพร่กระจายตัวเองและทำการบ้านบางอย่าง(ภารกิจเทคนิคการบรรทุก ) ไม่จำเป็นในเวลาเดียวกัน (สิ่งนี้จะเพิ่มความเป็นไปได้ของการแพร่กระจายเชื้อก่อนที่จะถูกตรวจพบ)
ไวรัสจะแพร่กระจายตัวเองและดำเนินการได้อย่างไร?
เพียงแค่มันสามารถเขียนทับส่วนหนึ่งของรหัสต้นฉบับ (กexe
, dll
, com
... ไฟล์) และใส่รหัสแทน
ตัวอย่างของโบราณไวรัส DOS ที่ทำหน้าที่ในโหมดดังกล่าว
ข้อเสียคือโปรแกรมต้นฉบับสามารถหยุดทำงานและอาจตรวจพบไวรัสได้เร็วขึ้น (เช่น: "... สวัสดีโปรแกรมของฉันไม่ทำงาน ... สิ่งแปลก ๆ กำลังเกิดขึ้น ... คุณสามารถช่วยได้หรือไม่ - ใช่คุณมี ไวรัส " )
มันสามารถคัดลอกส่วนเริ่มต้นของไฟล์ที่จะติดท้ายเมื่อมันสามารถใส่ตัวเองแทนส่วนแรก ดังนั้นเมื่อคุณรันโปรแกรมไวรัสจะถูกดำเนินการในตอนแรกและหลังจากนั้นโปรแกรมก็จะถูกดำเนินการ ... ตัวแปรที่ชาญฉลาดคือการคัดลอกตัวเองในตอนท้ายของไฟล์ และหนึ่งกลับไปที่จุดเริ่มต้นในตอนท้าย) ... ข้อเสียคือแอนติไวรัสสามารถค้นหารหัสของไวรัส (รู้จักกันครั้งหนึ่ง) และค้นหาได้อย่างง่ายดาย เรื่องนี้เกิดขึ้นในไวรัสคาสเคดใน 80s-90s ...
มันสามารถทำจากชิ้นส่วนและเขา ( หมายเหตุไม่ได้ ) สามารถเปลี่ยนรูปร่างของเขาและซ่อนตัวเองในส่วนต่าง ๆ ของโปรแกรมย้ายพวกเขาเข้ารหัสและช่วงชิง ทุกครั้งที่เขาอาจติดไฟล์ใหม่ด้วยวิธีที่ต่างกัน ดังนั้นโปรแกรมป้องกันไวรัสอาจพบว่ายังคงอยู่ในลายนิ้วมือ - ในแต่ละวันเขาจะระบุได้ยากขึ้น
ตอนนี้คุณจำได้ไหมว่าไวรัสคือรหัสไบนารี่ ลายนิ้วมือก็เช่นกัน
เนื่องจากมันไม่ใช่ไวรัสเต็มรูปแบบ แต่มีเพียงไม่กี่ไบต์มันอาจเกิดขึ้นได้ว่าส่วนหนึ่งของไฟล์บีบอัดไฟล์ข้อมูลหรือรูปภาพมีจำนวนไบต์เดียวกันกับหนึ่งในไวรัสลายนิ้วมือที่รู้จักกันหลายตัว
บันทึกสรุป:ไม่ไวรัสทั้งหมดถูกวางแผนที่จะเกิดความเสียหาย แต่ส่วนใหญ่ของพวกเขาทำมันพฤตินัย
ด้วยการใช้งานจริงของคอมพิวเตอร์ที่มีบัญชีธนาคารและค่าใช้จ่ายในการชำระเงินมันไม่ได้ดูตลกเท่าภาพด้านบน
แอปพลิเคชันป้องกันมัลแวร์มีตัวเลือกในการกักกันซึ่งมักจะเปิดอยู่ตามค่าเริ่มต้นเพื่อเหตุผลสองประการ:
ด้วยเหตุผลเดียวกันกับที่รัฐบาล (ส่วนใหญ่) จับกุมผู้ต้องสงสัยว่าเป็นอาชญากรแทนที่จะยิงพวกเขาบนถนนด้วยการยั่วยุน้อยที่สุด:
คุณต้องการให้โอกาสผู้ต้องสงสัยในการป้องกันตัวเองในกรณีที่พวกเขาไม่ได้ก่ออาชญากรรมใด ๆ เลย และแม้ว่าพวกเขาจะก่ออาชญากรรมคุณก็อาจต้องการทราบข้อมูลทั้งหมดเกี่ยวกับเรื่องนี้
ไวรัส (ตัวอย่าง) ไม่จำเป็นต้องเป็นไบนารี "แบบสแตนด์อโลน" (.exe) ตามเนื้อผ้าหลายคน "แนบ" ตัวเองเพื่อปฏิบัติการปกติ (มาก) (ดังนั้นทางเลือกของคำ: "ติดเชื้อ")
ดังนั้น "การลบ" ของไฟล์มัลแวร์จึงไม่ใช่ตัวเลือกเดียว AV หลายตัวเลือกที่จะ "ล้าง" ไฟล์ที่ติดไวรัส (ลบส่วนไวรัสออกจากไฟล์โปรแกรมปกติอื่น ๆ ปล่อยให้โปรแกรมปกติอยู่ในตำแหน่งที่มันอยู่)
"การแพร่กระจายของการติดเชื้อ" นั้นจะไม่ขึ้นอยู่กับ "การเรียกใช้มัลแวร์" (กระบวนการที่มองเห็น. exe) - แต่ขึ้นอยู่กับการเรียกใช้"โปรแกรมปกติ" ใด ๆ (Word, Excel) (หรือเปิดเอกสารปกติพร้อมเอกสารเหล่านั้น)
การย้ายไฟล์โปรแกรม "ปกติ แต่ติดไวรัส" ไปยังตำแหน่งกักกันเป็นขั้นตอนแรกเพื่อหยุดการแพร่กระจายเชื้อ มีโอกาสน้อยที่จะดำเนินการอย่างต่อเนื่องในระหว่างการดำเนินการทุกวัน
กักกันให้ตัวเลือกแก่คุณก่อนที่จะลบ ในกรณีที่ "การทำความสะอาด" ล้มเหลว ในกรณีที่คุณมี "เครื่องมือที่ดีกว่า" ที่อื่น หรือในกรณีที่คุณยังต้องการไฟล์ที่ติดไวรัสเหล่านั้นทั้งหมด (สำหรับการวิเคราะห์การกู้คืนข้อมูล)
บางครั้งการป้องกันไวรัสอาจถือว่าไฟล์สำคัญของคุณเป็นอันตรายและแทนที่จะลบไฟล์เหล่านั้นโดยอัตโนมัติมันจะกักกันพวกเขาโดยที่พวกเขาไม่สามารถเรียกใช้หรือเข้าถึงไฟล์ของคุณและแจ้งให้คุณทราบถึงการกระทำของมัน
docx
ไฟล์ทั้งหมดที่สร้างใน Word เวอร์ชันภาษาโปแลนด์ว่าเป็นอันตราย ฉันไม่ได้ใช้ ClamWin ด้วยตัวเอง แต่ฉันเดาว่าคนที่รู้สึกขอบคุณที่ถูกกักกัน