ทำไมซอฟต์แวร์ต่อต้านไวรัสไม่ลบไวรัสมัลแวร์ ฯลฯ แต่แทนที่จะกักกันไว้


124

เหตุใดซอฟต์แวร์ต่อต้านไวรัสไม่ลบไวรัสมัลแวร์และอื่น ๆ ทั้งหมด แต่แทนที่จะกักกันพวกเขา ไม่ดีกว่าที่จะกำจัดพวกเขาอย่างสิ้นเชิง? ทำไม? และฉันจะลบมันด้วยตนเองได้อย่างไร


123
ไม่กี่สัปดาห์ที่ผ่านมา ClamWin AV เริ่มตรวจพบdocxไฟล์ทั้งหมดที่สร้างใน Word เวอร์ชันภาษาโปแลนด์ว่าเป็นอันตราย ฉันไม่ได้ใช้ ClamWin ด้วยตัวเอง แต่ฉันเดาว่าคนที่รู้สึกขอบคุณที่ถูกกักกัน
gronostaj

10
การสนทนานี้กลับกลายเป็นคำถาม Sec.SE ที่เกี่ยวข้อง
Ben N

5
โปรแกรมต่อต้านไวรัสเกือบทุกโปรแกรมที่ฉันใช้ให้คุณเลือกว่าจะเกิดอะไรขึ้นเมื่อตรวจพบการคุกคามเฉพาะ (ไม่ว่าจะเป็นการละเว้นการกักกันหรือลบไฟล์ที่สงสัย ... )
พัฒนา

8
กับคนที่ขอให้ปิดคำถามนี้เป็นความเห็นตาม : มีเหตุผลที่จะนำไฟล์ในการกักเก็บที่ไม่ได้มีความคิดเห็นตาม: บวกปลอม, ความเป็นไปได้ในอนาคตที่จะกู้คืนไฟล์กู้คืนบางส่วนของไฟล์ที่ติดเชื้อเป็นไปได้ที่จะศึกษาไวรัส .. .ทางเลือกที่จะให้หรือไม่ที่จะให้พวกเขาสามารถเป็นส่วนบุคคลในที่สุดแม้ว่าจะไม่ได้โดยพลการอย่างสมบูรณ์: แน่นอนว่าไฟล์เป็นกระจายหนึ่ง (ส่วนโปรแกรม) ก็เป็นไปได้ที่จะคัดลอก / ดาวน์โหลดได้จากแหล่งที่ปลอดภัยและแทนที่เดิม โดยไม่จำเป็นต้องเก็บสำเนาที่ติดไวรัสไว้ ไม่มีโอกาสแทนสิ่งที่พวกเราทำเอง (นี่เป็นเรื่องส่วนตัว)
Hastur

6
หลายปีที่ผ่านมาเป็นแพคเกจ AV ที่มีชื่อผมจะไม่พูดถึง ( ไอไซแมนเทคไอ ) ตัดสินใจที่จะธงหลายร้อยที่กำลังเป็นระบบที่ติดเชื้อระหว่างการสแกนค้างคืนประจำ โดยปกติแล้วการกักกันระบบปฏิบัติการครึ่งหนึ่งไม่ได้ทำงานได้ดีเมื่อรีบูท Windows เครื่องปิดสนิทและไม่สามารถบู๊ตได้แม้ในเซฟโหมด ดังนั้นฉันต้องลบ HD ออกจากเครื่องวางไว้ในเครื่องอื่นเป็นไดรฟ์ที่สองและย้าย DLLs กลับไปยังตำแหน่งที่พวกเขาอยู่ การดำเนินการนี้ใช้เวลาเต็มวัน พิจารณาสิ่งที่จะเกิดขึ้นหากไฟล์เหล่านั้นถูกลบทิ้งแทนที่จะถูกกักกัน
Carey Gregory

คำตอบ:


135

ไวรัสและมัลแวร์ไม่เป็นอันตรายหากไม่ได้ดำเนินการ
ผู้ใช้ไม่สามารถเรียกใช้ไฟล์ในการกักกันได้และรหัสที่เป็นอันตราย (ไวรัสหรือมัลแวร์ ) ไม่สามารถกระทำได้ หากไวรัส / มัลแวร์สามารถถอดออกได้มันจะถูกลบออกทันที
หากไม่มีไฟล์จะถูกย้ายไปยังการกักกัน

มีสาเหตุที่แตกต่างกันสำหรับสิ่งนี้:

  • บวกเท็จ (เน้นคำตอบอื่น ๆ เช่นกันดูด้านล่างในคำอธิบายเพิ่มเติม )
  • ความเป็นไปได้ในอนาคตในการกู้คืนไฟล์ (ไวรัสจะเพิ่มรหัสภายในไฟล์ต้นฉบับและย้าย / crypt / ซ่อนส่วนหนึ่งของรหัสต้นฉบับที่ใดที่หนึ่งในปัจจุบันไม่สามารถกู้คืนไฟล์ได้ในอนาคตอันใกล้)
    แน่นอนถ้าไฟล์นั้นไม่ซ้ำกัน (เช่นไฟล์ที่สร้างโดยเจ้าของคอมพิวเตอร์) และมันมีค่าอย่างใดผู้ใช้อาจหาวิธีกู้คืนทุกส่วนที่ยังคงเป็นไปได้ที่จะกู้คืนจากมัน ส่วนหนึ่งของวิทยานิพนธ์ (หรือภาพ) ดีกว่าไม่มีอะไรเสมอไป
  • ความเป็นไปได้ในการศึกษาไวรัสโดย บริษัท แอนติไวรัสหรือเพื่อทำการแยกแยะคอมพิวเตอร์เครื่องอื่นที่ติดเชื้อ (ลองจินตนาการว่าคุณมีไฟล์ที่ถูกไวรัสโจมตีลายเซ็นmd5sumการเปลี่ยนแปลงคุณมีไฟล์เดียวกันในคอมพิวเตอร์หลาย ๆ เครื่องหากลายเซ็นเหมือนกันกับคุณ สามารถเดาได้ว่าจะถูกโจมตีหากคุณตรวจสอบข้อมูลสำรองของคุณคุณสามารถค้นหาครั้งแรกที่ไวรัสทำงาน)
    หมายเหตุ: ในอดีต"quarantena"เป็นระยะเวลา 40 วันสำหรับเรือและผู้คนก่อนที่จะเข้าเมืองเพื่อป้องกันการแพร่กระจายของ Black Death เพื่อดูว่าไวรัสพัฒนาหรือไม่ ในคอมพิวเตอร์ของเราการกักกันเป็นเพียงสถานที่ที่ปลอดภัยเพื่อให้ไฟล์ที่น่าสงสัยไม่ทำงานโดยไม่ได้สังเกตการกระทำของไวรัส

  • ในการกักกันสามารถท้ายแม้ไฟล์ปฏิบัติการที่มีการเปลี่ยนแปลง
    ลองนึกภาพว่าคุณมีโปรแกรมที่คุณคอมไพล์ใหม่หรือโปรแกรมโอเพ่นซอร์สที่ไม่ได้อัพเดทผ่านหน้าต่างปกติ: โปรแกรมป้องกันไวรัสสามารถสังเกตเห็นกิจกรรม (การเขียน) ในexeไฟล์ที่สามารถตัดได้และเก็บไว้ในที่กักกัน
    นอกจากนี้เนื่องจากมีไฟล์บางไฟล์ที่มีเนื้อหาที่ใช้งาน (เช่นมาโคร Word หรือ eXcel ... ) โปรแกรมป้องกันไวรัสบางตัวสามารถมองเห็นความแตกต่างในส่วนที่ปฏิบัติการได้และตีความไฟล์ที่ถูกสร้างโดยการกระทำของไวรัส

  • หากคุณมีไฟล์เวอร์ชันเดียวกันที่ถูกโจมตีจากไวรัสในรูปแบบที่แตกต่างกันคุณสามารถกู้คืนไฟล์ได้โดยการข้ามและวิเคราะห์ข้อมูลของเวอร์ชันเหล่านี้

คำอธิบายเพิ่มเติม
คิดว่าเหมือนไวรัสและแอนติไวรัสเพื่อให้เข้าใจว่าทำไมการกักกันจึงมีอยู่ทำไมถึงมีผลบวกปลอมและทำไมการต่อสู้ครั้งนี้จึงดำเนินต่อไปทุกวัน

ไวรัส (หรือมัลแวร์ ) เป็นรหัสที่รวบรวมซึ่งดำเนินการตามวัตถุประสงค์สำหรับสิ่งที่โปรแกรมไว้
ในฐานะที่เป็นรหัสที่รวบรวมมันเป็นไบนารี (ปกติ) และไม่ใช่ข้อความ (เหมือนกับสิ่งที่คุณกำลังอ่าน) มันจะต้องทำการแพร่กระจายตัวเองและทำการบ้านบางอย่าง(ภารกิจเทคนิคการบรรทุก ) ไม่จำเป็นในเวลาเดียวกัน (สิ่งนี้จะเพิ่มความเป็นไปได้ของการแพร่กระจายเชื้อก่อนที่จะถูกตรวจพบ)

ไวรัสจะแพร่กระจายตัวเองและดำเนินการได้อย่างไร?

  • เพียงแค่มันสามารถเขียนทับส่วนหนึ่งของรหัสต้นฉบับ (กexe, dll, com... ไฟล์) และใส่รหัสแทน

    ไวรัส DOS
    ตัวอย่างของโบราณไวรัส DOS ที่ทำหน้าที่ในโหมดดังกล่าว
    ข้อเสียคือโปรแกรมต้นฉบับสามารถหยุดทำงานและอาจตรวจพบไวรัสได้เร็วขึ้น (เช่น: "... สวัสดีโปรแกรมของฉันไม่ทำงาน ... สิ่งแปลก ๆ กำลังเกิดขึ้น ... คุณสามารถช่วยได้หรือไม่ - ใช่คุณมี ไวรัส " )

  • มันสามารถคัดลอกส่วนเริ่มต้นของไฟล์ที่จะติดท้ายเมื่อมันสามารถใส่ตัวเองแทนส่วนแรก ดังนั้นเมื่อคุณรันโปรแกรมไวรัสจะถูกดำเนินการในตอนแรกและหลังจากนั้นโปรแกรมก็จะถูกดำเนินการ ... ตัวแปรที่ชาญฉลาดคือการคัดลอกตัวเองในตอนท้ายของไฟล์ และหนึ่งกลับไปที่จุดเริ่มต้นในตอนท้าย) ... ข้อเสียคือแอนติไวรัสสามารถค้นหารหัสของไวรัส (รู้จักกันครั้งหนึ่ง) และค้นหาได้อย่างง่ายดาย เรื่องนี้เกิดขึ้นในไวรัสคาสเคดใน 80s-90s ...

    เรียงซ้อนไวรัส

  • มันสามารถทำจากชิ้นส่วนและเขา ( หมายเหตุไม่ได้ ) สามารถเปลี่ยนรูปร่างของเขาและซ่อนตัวเองในส่วนต่าง ๆ ของโปรแกรมย้ายพวกเขาเข้ารหัสและช่วงชิง ทุกครั้งที่เขาอาจติดไฟล์ใหม่ด้วยวิธีที่ต่างกัน ดังนั้นโปรแกรมป้องกันไวรัสอาจพบว่ายังคงอยู่ในลายนิ้วมือ - ในแต่ละวันเขาจะระบุได้ยากขึ้น

ตอนนี้คุณจำได้ไหมว่าไวรัสคือรหัสไบนารี่ ลายนิ้วมือก็เช่นกัน
เนื่องจากมันไม่ใช่ไวรัสเต็มรูปแบบ แต่มีเพียงไม่กี่ไบต์มันอาจเกิดขึ้นได้ว่าส่วนหนึ่งของไฟล์บีบอัดไฟล์ข้อมูลหรือรูปภาพมีจำนวนไบต์เดียวกันกับหนึ่งในไวรัสลายนิ้วมือที่รู้จักกันหลายตัว

บันทึกสรุป:ไม่ไวรัสทั้งหมดถูกวางแผนที่จะเกิดความเสียหาย แต่ส่วนใหญ่ของพวกเขาทำมันพฤตินัย
ด้วยการใช้งานจริงของคอมพิวเตอร์ที่มีบัญชีธนาคารและค่าใช้จ่ายในการชำระเงินมันไม่ได้ดูตลกเท่าภาพด้านบน


4
+1 สำหรับเรื่องนี้โดยเฉพาะเนื่องจากมีความเป็นไปได้ในการกู้คืนไฟล์ในบางครั้งนี่เป็นหลักสูตรมาตรฐานสำหรับการทำงานของซอฟต์แวร์ป้องกันไวรัส!
ปุย

3
@MSalters ไม่เศร้าไม่มีการแก้ไขอัตโนมัติ ฉันกำลังพูดอย่างเป็นรูปเป็นร่าง (หรืออย่างน้อยฉันก็พยายาม): ไวรัสแพร่กระจายจากไฟล์หนึ่งไปยังอีกที่หนึ่ง (อาจเป็นคอมพิวเตอร์อีกเครื่อง ... ) จากนั้นมันจะอยู่ในไฟล์ (พบที่บ้าน) จากนั้นมันจะรอ ... จากนั้นจะดำเนินการตามที่สอนไว้ (โปรแกรม) จากที่นี่คำว่า"การบ้าน" คุณสามารถอ่านมันเป็น"ภารกิจ"ได้มันควรจะชัดเจนกว่านี้ แต่ก็เหมือนถ้าคุณเห็นไวรัสในฐานะทหาร BTW ขอบคุณสำหรับจุดตอบรับการปรับปรุง
Hastur

41
ฉันอยากรู้เกี่ยวกับส่วน "เขา (หมายเหตุไม่ได้)" เกี่ยวกับอะไร
อัลฟ่า

3
ในวลี "ในการกักกันแม้แต่การปฏิบัติการก็สามารถทำให้เสร็จ" ฉันไม่สามารถเข้าใจความหมายของคำว่า "เสร็จสิ้น" ได้ คุณช่วยอธิบายเรื่องนี้ได้ไหม?
แทนเนอร์ Swett

4
@Alpha (และอื่น ๆ ... ) เป็นเรื่องส่วนตัวเกี่ยวข้องกับวิธีที่ฉัน"รับรู้"ไวรัสชนิดนั้น ผู้ดำเนินการขั้นพื้นฐานทำงานแบบสุ่มสี่สุ่มห้าไม่มีการแสดงความสามารถใด ๆ แต่แล้วพวกเขาก็เริ่มปรับเปลี่ยนตัวเองเพื่อซ่อนและนอนหลับเข้ารหัสตัวเองพัฒนาอย่างใด ... - ตัวแปรที่พบได้ง่ายไม่มีความเป็นไปได้ที่จะมีชีวิตรอดต่อการต่อต้านการพยายามฆ่าพวกเขา ลุค: ฉันใช้"เอาตัวรอด" & "ฆ่า"โดยปริยายฉันเริ่มจำพวกเขาว่ามีศักดิ์ศรีในฐานะการแสดงออกของหน่วยสืบราชการลับราวกับว่าพวกเขายังมีชีวิตอยู่ ... ดังนั้นไม่มากไปกว่าเขาหรือเธอถ้าคุณต้องการ
Hastur

89

แอปพลิเคชันป้องกันมัลแวร์มีตัวเลือกในการกักกันซึ่งมักจะเปิดอยู่ตามค่าเริ่มต้นเพื่อเหตุผลสองประการ:

  1. เก็บข้อมูลสำรองของรายการที่ระบุว่าเป็นภัยคุกคามในกรณีที่มีการบวกผิด แม้ว่าจะไม่ธรรมดามากฉันได้เห็นกรณีที่ผิดพลาดในเชิงบวกเกี่ยวกับไฟล์แอพพลิเคชั่นและไดรเวอร์ที่ถูกกฎหมายหลายอย่าง
  2. มีรายการในกักกันอาจอนุญาตให้ตรวจสอบได้ดีขึ้น ความจริงที่ว่าตรงกับลายเซ็นมัลแวร์ไม่ได้หมายความว่ามันคล้ายกัน แต่อาจมีลักษณะเฉพาะอื่น ๆ

39
นอกจากนี้หากมัลแวร์ได้ฝังตัวเองในไฟล์ที่คุณต้องการเช่นเอกสาร Word หรือที่คล้ายกันการลบทันทีอาจเป็นตัวเลือกที่แย่ที่สุดจากมุมมองของผู้ใช้ อย่างน้อยการกักกันก็ให้โอกาสคุณในการเสี่ยงที่จะได้รับเนื้อหาคืน
Mokubai

8
นอกจากนี้ซอฟต์แวร์ต่อต้านมัลแวร์อาจมีความเข้าใจที่แตกต่างออกไปจากคุณในการจัดหมวดหมู่ ซอฟต์แวร์ต่อต้านไวรัสบางตัวเป็นที่รู้จักในการตรวจจับเครื่องมือ SysAdmin ว่าเป็นมัลแวร์และฉันพบว่าซอฟต์แวร์บางตัวลบ USB-Stick ครึ่งหนึ่งโดยไม่ต้องถามเมื่อฉันเชื่อมต่อกับคอมพิวเตอร์จาก บริษัท และโรงเรียนบางแห่ง netcat, wireshark, ฯลฯ เป็นที่รู้จักกันดี ฉันเคยเห็นคนเก็บสำเนาวิทยานิพนธ์หลักของพวกเขาไว้ใน USB-Stick เท่านั้น ฉันหวังว่าสแกนเนอร์ป้องกันมัลแวร์จะไม่ตรวจพบว่าเป็นบวกและลบโดยไม่ต้องถาม
H. Idden

13
ไม่ธรรมดามาก? ฉันคิดว่าการตรวจพบเกือบทั้งหมดของโปรแกรมป้องกันไวรัสของฉันนั้นเป็นผลบวกที่ผิดพลาด
Oriol

6
@JuliePelletier อัตราส่วนของผลบวกที่ผิดได้รับอิทธิพลอย่างมากจากการกระทำของผู้ใช้ ฉันไม่เคยมีไวรัสมัลแวร์หรืออะไรอย่างนั้นเพราะฉันใส่ใจมาก สิ่งนี้ทำให้การตรวจจับส่วนใหญ่ (หากไม่ใช่ทั้งหมด) โดยอัตโนมัติเป็นผลบวกปลอม ฉันยังคงใช้โปรแกรมป้องกันไวรัสอยู่แน่นอน :)
Mixxiphoid

3
@Mokubai มันเป็นความคิดที่น่าสนใจที่ไวรัสอาจทำให้เกิดความเสียหายโดยการเพิ่มลายเซ็นของไวรัสลงในไฟล์ที่ถูกต้องทำให้ av ทำงานที่สกปรก
emory

72

ด้วยเหตุผลเดียวกันกับที่รัฐบาล (ส่วนใหญ่) จับกุมผู้ต้องสงสัยว่าเป็นอาชญากรแทนที่จะยิงพวกเขาบนถนนด้วยการยั่วยุน้อยที่สุด:

คุณต้องการให้โอกาสผู้ต้องสงสัยในการป้องกันตัวเองในกรณีที่พวกเขาไม่ได้ก่ออาชญากรรมใด ๆ เลย และแม้ว่าพวกเขาจะก่ออาชญากรรมคุณก็อาจต้องการทราบข้อมูลทั้งหมดเกี่ยวกับเรื่องนี้


38
โดยการเปรียบเทียบว่าควรจะมีการป้องกันไวรัสอย่างน้อยบางส่วนที่ลบไปโดยปริยาย ...
PlasmaHH

5
@ ΈρικΚωνσταντόπουλος: สิ่งที่เป็นคำสั่งที่น่าหัวเราะ Windows 7 มี "ไม่มีอยู่" ด้วยหรือไม่
การแข่งขัน Lightness ใน Orbit

9
@ ΈρικΚωνσταντόπουλος: ผู้คนจะใช้ Windows 7 และ 8 เป็นเวลานาน ไม่มีอะไร "ไม่มีตัวตน" เกี่ยวกับซอฟต์แวร์อายุหนึ่งปี อย่าโง่เลย!
Lightness Races ที่ Orbit

14
@ ΈρικΚωνσταντόπουλος Windows 7 ได้ขยายการสนับสนุนจนถึงปี 2020 เป็นคู่ Windows 8 จนถึง 2023 ฉันกำลังพยายามตรวจหาจุดของคุณ มันคืออะไร?
Lightness Races ที่ Orbit

20
@ ΈρικΚωνσταντόπουλοςใช่ในปี 2566 คุณมีประเด็นอะไรบ้าง?
การแข่งขัน Lightness ใน Orbit

1

ไวรัส (ตัวอย่าง) ไม่จำเป็นต้องเป็นไบนารี "แบบสแตนด์อโลน" (.exe) ตามเนื้อผ้าหลายคน "แนบ" ตัวเองเพื่อปฏิบัติการปกติ (มาก) (ดังนั้นทางเลือกของคำ: "ติดเชื้อ")

ดังนั้น "การลบ" ของไฟล์มัลแวร์จึงไม่ใช่ตัวเลือกเดียว AV หลายตัวเลือกที่จะ "ล้าง" ไฟล์ที่ติดไวรัส (ลบส่วนไวรัสออกจากไฟล์โปรแกรมปกติอื่น ๆ ปล่อยให้โปรแกรมปกติอยู่ในตำแหน่งที่มันอยู่)

"การแพร่กระจายของการติดเชื้อ" นั้นจะไม่ขึ้นอยู่กับ "การเรียกใช้มัลแวร์" (กระบวนการที่มองเห็น. exe) - แต่ขึ้นอยู่กับการเรียกใช้"โปรแกรมปกติ" ใด ๆ (Word, Excel) (หรือเปิดเอกสารปกติพร้อมเอกสารเหล่านั้น)

การย้ายไฟล์โปรแกรม "ปกติ แต่ติดไวรัส" ไปยังตำแหน่งกักกันเป็นขั้นตอนแรกเพื่อหยุดการแพร่กระจายเชื้อ มีโอกาสน้อยที่จะดำเนินการอย่างต่อเนื่องในระหว่างการดำเนินการทุกวัน

กักกันให้ตัวเลือกแก่คุณก่อนที่จะลบ ในกรณีที่ "การทำความสะอาด" ล้มเหลว ในกรณีที่คุณมี "เครื่องมือที่ดีกว่า" ที่อื่น หรือในกรณีที่คุณยังต้องการไฟล์ที่ติดไวรัสเหล่านั้นทั้งหมด (สำหรับการวิเคราะห์การกู้คืนข้อมูล)


0

บางครั้งการป้องกันไวรัสอาจถือว่าไฟล์สำคัญของคุณเป็นอันตรายและแทนที่จะลบไฟล์เหล่านั้นโดยอัตโนมัติมันจะกักกันพวกเขาโดยที่พวกเขาไม่สามารถเรียกใช้หรือเข้าถึงไฟล์ของคุณและแจ้งให้คุณทราบถึงการกระทำของมัน


ยินดีต้อนรับสู่ Super User! คำตอบนี้ไม่ได้เพิ่มอะไรใหม่ในเธรด โปรดอ่านคำตอบอื่น ๆ ก่อนโพสต์คำตอบ
rahuldottech
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.