ウイルス対策ソフトウェアがウイルス、マルウェアなどを完全に削除せず、代わりに隔離するのはなぜですか?それらを完全に取り除くのは良くありませんか?どうして?そして、それらを手動で削除するにはどうすればよいですか?
ウイルス対策ソフトウェアがウイルス、マルウェアなどを完全に削除せず、代わりに隔離するのはなぜですか?それらを完全に取り除くのは良くありませんか?どうして?そして、それらを手動で削除するにはどうすればよいですか?
回答:
ウイルスとマルウェアは、実行されなければ危険ではありません。
隔離されたファイルはユーザーが実行できず、悪意のあるコード(ウイルスまたはマルウェア)が動作する可能性はありません。ウイルス/マルウェアが除去可能な場合、すぐに削除されます。
そうでない場合、ファイルは検疫に移動されます。
これにはさまざまな理由があります。
ウイルス対策会社によってウイルスを調査したり、感染した他のコンピューターを個別化する可能性(ウイルスに攻撃されたファイルがあると想像してください。その署名、md5sum
変更。多くのコンピューターに同じファイルがあります。署名が同じ場合バックアップをチェックインすると、ウイルスが初めて行動したときを見つけることができます)。
注:歴史的に、「検疫」は、黒死病の拡散を防ぎ、ウイルスが発生するかどうかを確認するために、都市に入る前に船と人々を40日間隔離する期間でした。私たちのコンピュータでは、ウイルスの動作を観察することなく、疑わしいファイルを非アクティブに保つための隔離場所が安全な場所にすぎません。
検疫では、変更された実行可能ファイルでさえ終わる可能性があります。
再コンパイルするプログラム、または通常のWindowsの方法ではなく更新されるオープンソースプログラムがあるとします。ウイルス対策プログラムは、exe
-cutableファイルのアクティビティ(書き込み)に気付き、それを検疫に入れることができます。
さらに、アクティブなコンテンツ(WordやeXcelマクロなど)を含むファイルがあるため、一部のアンチウイルスは実行可能部分の違いを発見し、ウイルスのアクションによって生成されたものとして解釈できます。
同じバージョンのファイルがさまざまな方法でウイルスから攻撃されている場合、これらのバージョンのデータを横断して分析することにより、(理論的に)ファイルを回復することができます。
詳細説明
ウイルスやウイルス対策のように考えて、なぜ隔離が存在するのか、なぜ偽陽性になる可能性があるのか、なぜこれが毎日続く戦いなのかを理解してください。
ウイルス(またはマルウェア)は、プログラムの目的を実行するコンパイル済みコードです。
コンパイルされたコードとして、それはバイナリ(通常)であり、テキスト(あなたが読んでいるものとして)ではありません。それはそれ自体を伝播し、いくつかの宿題(ミッション、技術的にはペイロード)を実行する必要があり、必ずしも同時にではありません(これにより、感染が検出される前に広がる可能性が高まります)。
ウイルスはどのようにして増殖し、実行されますか?
単にそれは、元のコード(の一部上書きすることができexe
、dll
、com
...ファイル)を、代わりにそのコードを置きます。
そのようなモードで動作する古代の DOSウイルスの例。
欠点は、元のプログラムが動作を停止し、ウイルスがより速く検出される可能性があることです(例:「...私のプログラムは動作していません...奇妙なことが起こっています...助けていただけますか?-はいウイルス」)。
最初の部分の代わりに自分自身を置くことができた後、感染するファイルの最初の部分をコピーすることができます。したがって、プログラムを実行すると、ウイルスが最初に実行されてから、プログラムが実行されます...よりスマートな亜種は、ファイルの最後に自分自身をコピーし、ファイルの先頭の最後にジャンプすることです(欠点は、ウイルス対策プログラムがウイルスのコードを(一度知っていれば)検索し、簡単に見つけることができることです。これは、80年代から90年代のカスケードウイルスで発生しました...
それは部品でできており、彼は(それではないことに注意して)彼の形を変えて、プログラムの異なる部分に隠れ、それらを動かし、暗号化し、スクランブルすることができます。彼は新しいファイルに異なる方法で感染するたびに。そのため、ウイルス対策ソフトウェアは、指紋に残っているものしか見つけられない可能性があります-毎日識別するのが困難です。
さて、あなたはウイルスが(通常)バイナリコードであることを覚えていますか?まあ、指紋もあります。
完全なウイルスではなく、数バイトしかないため、圧縮ファイル、データファイル、または画像の一部に、多くの既知のウイルスフィンガープリントのいずれかと同じバイトが含まれている可能性があります。
結論:すべてのウイルスが損傷することを計画しているわけではありませんが、事実上、ほとんどのウイルスがそれを行っています。
銀行口座と支払い請求書を備えたコンピューターを実際に使用しているため、上記の画像ほど面白いものではないようです。
マルウェア対策アプリケーションは検疫オプションを提供します。これは多くの場合、次の2つの理由でデフォルトでオンになっています。
(ほとんどの)政府が容疑者を路上でわずかな挑発で射殺するのではなく逮捕するのと同じ理由で:
実際に犯罪を犯していない場合に備えて、容疑者に自分自身を守る機会を与えたいと考えています。そして、たとえ彼らが犯罪を犯したとしても、おそらくそれについてすべてを知りたいと思うでしょう。
ウイルス(たとえば)は、必ずしも「スタンドアロン」バイナリ(.exe)ではありません。伝統的に、それらの多くは(多くの)通常の実行可能ファイルに自分自身を「アタッチ」します。(したがって、「感染」という単語の選択)
したがって、マルウェアファイルの「削除」だけがオプションではありません。多くのAVには、感染ファイルを「駆除する」オプションがあります。(通常のプログラムファイルからウイルス部分を削除します。通常のプログラムはそのままにします。)
「感染の拡散」は、「マルウェアの実行」(可視プロセス.exe)ではなく、「通常のプログラム」(Word、Excel)の実行に基づいています。(またはそれらで通常の文書を開く)
検疫場所に「正常ではあるが、感染した」プログラムファイルを移動し、停止する最初のステップである拡散感染を。そこでは、毎日の運用中に継続的に実行される可能性が低くなります。
検疫では、削除する前にオプションが提供されます。「クリーニング」が失敗した場合。他の場所に「より良いツール」がある場合。または、これらの感染ファイルがすべて必要な場合に備えて。(分析、データ復旧用)
アンチウイルスが重要なファイルを悪意のあるものと見なし、ファイルを自動的に削除する代わりに、ファイルを実行またはアクセスできない場所に隔離し、そのアクションを通知する場合があります。
docx
はポーランド語版のWordで作成されたすべてのファイルを悪意のあるものとして検出し始めました。私は自分でClamWinを使用していませんが、実際に隔離していることに感謝した人はいると思います。