Tại sao phần mềm chống vi-rút không xóa vi-rút, phần mềm độc hại, v.v., mà thay vào đó cách ly chúng?

Tại sao phần mềm chống vi-rút không xóa hoàn toàn vi-rút, phần mềm độc hại, v.v., mà thay vào đó cách ly chúng? Nó không phải là tốt hơn để hoàn toàn thoát khỏi chúng? Tại sao? Và làm thế nào tôi có thể loại bỏ chúng bằng tay?

Virus và malware là không nguy hiểm nếu không được thực hiện.
Người dùng không thể thực hiện một tệp trong kiểm dịch và mã độc (virus hoặc phần mềm độc hại ) không có khả năng hành động. Nếu virus / phần mềm độc hại có thể tháo rời, nó sẽ bị xóa ngay lập tức.
Nếu không các tập tin sẽ được chuyển đến kiểm dịch.

Có nhiều lý do khác nhau cho việc này:

• Dương tính giả (cũng nhấn mạnh bởi các câu trả lời khác, xem bên dưới trong phần giải thích thêm ).
• Khả năng trong tương lai để khôi phục tệp (vi-rút thêm mã của nó vào tệp gốc và di chuyển / mã hóa / ẩn một phần mã gốc ở đâu đó. Hiện tại không thể khôi phục tệp nhưng có thể trong tương lai gần nó sẽ xảy ra).
  Thật vậy, nếu tệp là duy nhất (ví dụ: tệp do chủ sở hữu của máy tính tạo ra) và nó rất quý giá , người dùng có thể tìm cách khôi phục tất cả các phần vẫn có thể khôi phục từ nó. Một phần của một luận án (hoặc của một hình ảnh) luôn luôn tốt hơn không có gì.

• Khả năng nghiên cứu vi-rút của công ty chống vi-rút hoặc phân biệt máy tính khác bị nhiễm (hãy tưởng tượng bạn có một tệp bị vi-rút tấn công. Chữ ký của nó md5sumthay đổi. Bạn có cùng một tệp trên nhiều máy tính. Nếu chữ ký giống bạn có thể đoán chúng bị tấn công. Nếu bạn kiểm tra các bản sao lưu của mình, bạn có thể tìm thấy lần đầu tiên virus hành động).
  _{Lưu ý: trong lịch sử, " khu cách ly " là khoảng thời gian cách ly 40 ngày đối với tàu và người trước khi vào thành phố để ngăn chặn sự khuếch tán của Cái chết đen, để xem virus có phát triển hay không. Trên máy tính của chúng tôi, khu vực cách ly chỉ là nơi an toàn để giữ các tệp nghi ngờ không hoạt động, mà không quan sát bất kỳ hành động nào của virus.}

• Trong kiểm dịch có thể kết thúc ngay cả một tập tin thực thi được thay đổi.
  Hãy tưởng tượng rằng bạn có một chương trình mà bạn biên dịch lại hoặc một chương trình nguồn mở được cập nhật không thông qua các cách thông thường của windows: phần mềm chống vi-rút có thể nhận thấy các hoạt động (ghi) trên một exetệp có thể cắt và đưa nó vào kiểm dịch.
  Ngoài ra, vì có một số tệp có nội dung hoạt động (ví dụ như macro Word hoặc eXcel ...), một số phần mềm chống vi-rút có thể phát hiện ra sự khác biệt trong các phần thi hành và diễn giải những phần đó được tạo ra bởi tác động của vi-rút.

• Nếu bạn có cùng một phiên bản tệp bị tấn công từ vi-rút theo các cách khác nhau , về mặt lý thuyết, có thể khôi phục tệp bằng cách vượt qua và phân tích dữ liệu của các phiên bản này.

Giải thích thêm
Hãy suy nghĩ như virus và phần mềm chống vi-rút để hiểu lý do tại sao kiểm dịch tồn tại, tại sao có thể có những thông tin sai lệch và tại sao đây là trận chiến tiếp diễn mỗi ngày.

Virus (hoặc phần mềm độc hại ) là một mã được biên dịch thực thi mục đích cho những gì đã được lập trình cho.
Như biên soạn mã, đó là nhị phân (thường) và không phải văn bản (như những gì bạn đang đọc). Nó phải tự tuyên truyền và thực hiện một số bài tập về nhà (một nhiệm vụ, về mặt kỹ thuật là một trọng tải ), không nhất thiết phải đồng thời (điều này làm tăng khả năng lây lan nhiễm trùng trước khi nó được phát hiện).

Làm thế nào một virus có thể tự lan truyền và được thực thi?

• Đơn giản chỉ cần nó có thể ghi đè lên một phần của mã gốc ( exe, dll, com... files) và đặt mã của nó để thay thế.

  
  ^{Ví dụ về một virus DOS cổ đại hoạt động trong một chế độ như vậy .}
  Hạn chế là chương trình gốc có thể ngừng hoạt động và virus có thể được phát hiện nhanh hơn (Ví dụ: "... xin chào chương trình của tôi không hoạt động ... những điều kỳ lạ đang xảy ra ... bạn có thể giúp gì không? vi-rút " ).

• Nó có thể sao chép phần ban đầu của tệp bị nhiễm ở phần cuối của nó, sau khi nó có thể tự đặt thay vì phần đầu tiên. Vì vậy, khi bạn thực thi chương trình, virus sẽ được thực thi trước tiên và chỉ sau đó chương trình được thực thi ... Một biến thể thông minh hơn là sao chép chính nó ở cuối tệp và đặt một bước nhảy đến cuối tập tin ( và một trở lại từ đầu của nó ở cuối của nó) ... Hạn chế là một phần mềm chống vi-rút có thể tìm kiếm mã của vi-rút (một khi đã biết) và tìm thấy nó dễ dàng. Điều này đã xảy ra với virus Cascade trong thập niên 80-90 ...

  

• Nó có thể được tạo thành từ các bộ phận và anh ta ( lưu ý không phải nó ) có thể thay đổi hình dạng của mình và ẩn mình trong các phần khác nhau của chương trình, di chuyển chúng, mã hóa và tranh giành. Mỗi lần anh ta có thể lây nhiễm một tập tin mới theo một cách khác nhau. Do đó, phần mềm chống vi-rút chỉ có thể tìm thấy dấu vết trong dấu vân tay - mỗi ngày anh ta khó xác định hơn.

Bây giờ, bạn có nhớ rằng virus là (thường) mã nhị phân không? Chà, dấu vân tay cũng vậy.
Vì chúng không phải là virus đầy đủ mà chỉ có một vài byte, nên có thể xảy ra một phần của tệp nén, tệp dữ liệu hoặc hình ảnh có cùng byte của một trong nhiều dấu vân tay của virus đã biết - do đó là dương tính giả.

Lưu ý kết luận: không phải tất cả các virus đã được lên kế hoạch để gây thiệt hại, nhưng hầu hết trong số chúng làm điều đó, trên thực tế .
Với việc sử dụng thực tế các máy tính có tài khoản ngân hàng và hóa đơn để thanh toán, có vẻ như nó không còn buồn cười như những hình ảnh trên.

Các ứng dụng chống phần mềm độc hại cung cấp tùy chọn kiểm dịch, thường được bật theo mặc định vì hai lý do:

1. Giữ một bản sao lưu của các mặt hàng được xác định là đe dọa trong trường hợp dương tính giả. Mặc dù không phổ biến lắm, tôi đã thấy các trường hợp dương tính giả trên nhiều tệp ứng dụng và trình điều khiển hợp pháp khác nhau.
2. Có vật phẩm trong kiểm dịch có thể cho phép nó được điều tra tốt hơn. Việc nó khớp với chữ ký phần mềm độc hại không có nghĩa là nó chỉ tương tự nhưng thực sự có thể có những đặc điểm khác.

Vì lý do tương tự mà (hầu hết) các chính phủ bắt giữ tội phạm bị nghi ngờ thay vì bắn họ trên đường phố với sự khiêu khích nhỏ nhất:

Bạn muốn cho nghi phạm một cơ hội để tự vệ, trong trường hợp họ thực sự không phạm tội gì cả. Và, ngay cả khi họ đã phạm tội, bạn có thể muốn tìm hiểu tất cả về nó.

Virus (ví dụ) không nhất thiết phải là nhị phân "độc lập" (.exe). Theo truyền thống, nhiều người trong số họ "gắn" mình với (nhiều) thực thi bình thường. (do đó lựa chọn từ: "lây nhiễm")

Do đó, "xóa" tệp phần mềm độc hại không phải là lựa chọn duy nhất. Nhiều AV cung cấp tùy chọn "dọn dẹp" các tệp bị nhiễm. (loại bỏ phần vi rút khỏi các tệp chương trình bình thường. Để lại chương trình bình thường.)

"Lan truyền lây nhiễm" sau đó sẽ không dựa trên "chạy phần mềm độc hại" (quy trình hiển thị .exe) - mà dựa trên việc chạy bất kỳ "chương trình bình thường" nào (Word, Excel). (hoặc mở một tài liệu bình thường với những người đó)

Di chuyển các tập tin chương trình "bình thường nhưng bị nhiễm bệnh" đến một địa điểm kiểm dịch, là một bước đầu tiên để ngăn chặn lây lan nhiễm trùng. Ở đó, nó ít có khả năng được thực hiện liên tục trong mỗi hoạt động hàng ngày.

Kiểm dịch cung cấp cho bạn các tùy chọn, trước khi xóa. Trong trường hợp "làm sạch" không thành công. Trong trường hợp bạn có một "công cụ tốt hơn" ở một nơi khác. Hoặc trong trường hợp bạn vẫn cần tất cả những tập tin bị nhiễm. (để phân tích, phục hồi dữ liệu)

Đôi khi, các trình chống vi-rút có thể coi các tệp quan trọng của bạn là độc hại và thay vì tự động xóa chúng, chúng sẽ cách ly chúng khi chúng không thể thực thi hoặc truy cập các tệp của bạn và thông báo cho bạn về các hành động của nó.