web-dev-qa-db-ja.com

ウイルス対策ソフトウェアがウイルスやマルウェアなどを削除せずに隔離するのはなぜですか。

ウイルス対策ソフトウェアがウイルスやマルウェアなどを完全に削除せずに隔離するのはなぜですか。それらを完全に取り除くのは良くないですか?どうして?そして、どうやってそれらを手動で削除することができますか?

124
Sardar_Usama

ウイルスとマルウェアは、実行されなければ危険ではありません。
隔離されたファイルはユーザーが実行できず、悪意のあるコード(ウイルスまたはmalware)が動作する可能性はありません。ウイルス/マルウェアが除去可能な場合、すぐに削除されます。
そうでない場合、ファイルは検疫に移動されます。

これには異なる理由があります:

  • False positive(他の回答でも強調されているように、以下の詳細説明)を参照).
  • ファイルを回復する将来の可能性(ウイルスは元のファイルにコードを追加し、元のコードの一部をどこかに移動/暗号化/非表示にします。現時点ではファイルを復元することはできませんが、近い将来には可能性があります)。
    実際にファイルが一意(たとえば、コンピューターの所有者によって作成されたもの)で、何らかの形でpreciousである場合、ユーザーはすべてのそこから回復できる可能性のある部品。論文(または画像)の一部は、何もないよりも常に優れています。
  • ウイルス対策会社がウイルスを調査するか、感染した他のコンピューターを個別化する可能性(ファイルがウイルスに攻撃されたと想像してみてください。その署名、 md5sum変更。多くのコンピューターに同じファイルがあります。署名が同じ場合、攻撃されていると推測できます。バックアップをチェックインすると、初めてウイルスが実行されたことがわかります。
    注:歴史的に、 "quarantena" は、黒人の拡散を防ぐために、都市に入る前に船と人々を40日間隔離する期間でした。ウイルスが発生するかどうかを確認するための死。私たちのコンピュータでは、ウイルスの動作を観察することなく、疑わしいファイルを非アクティブに保つための隔離場所が安全な場所です。

  • 検疫では、変更された実行可能ファイルでさえ終わる可能性があります。
    再コンパイルするプログラム、または通常のWindowsの方法ではなく更新されるオープンソースプログラムがあることを想像してください。ウイルス対策プログラムは、exe- cutableファイルのアクティビティ(書き込み)に気づき、それを入れることができます検疫。
    さらに、アクティブコンテンツ(たとえば、WordやExcelマクロなど)を持つファイルがあるため、一部のウイルス対策プログラムは、実行可能部分の違いを見つけて解釈できます。ウイルスの動作によって生成されるもの。

  • 同じバージョンのさまざまな方法でウイルスから攻撃されたファイルがある場合、(理論的に)交差して分析することでファイルを回復することができますこれらのバージョンのデータ。

詳細説明
検疫が存在する理由、誤検知が発生する理由、およびこれが毎日続く戦いである理由を理解するには、ウイルスやアンチウイルスのように考えてください。

ウイルス(またはmalware)は、プログラムの目的を実行するコンパイル済みコードです。
コンパイル済みコードとしては、binary(通常)であり、テキスト(あなたが読んでいるものとして)ではありません。それは自身を伝播し、いくつかの宿題を実行する必要があります(ミッション、技術的にはペイロード)、必ずしも同時にではありません(これにより、感染が検出される前に広がる可能性が高まります)。

ウイルスはどのようにして増殖し、実行されますか?

  • 単純に、元のコードの一部(exedllcom...ファイル)を上書きし、代わりにそのコードを配置できます。

    DOS virus
    ancientDOSウイルスの例 そのようなモードで
    欠点は、元のプログラムが動作を停止し、ウイルスがより早く検出される可能性があることです(例: "...こんにちは、私のプログラムは動作していません...奇妙なことが起こっています。 ..助けてもらえますか?-はい、ウイルスがあります」)。

  • ファイルの最初の部分をコピーして、最初の部分の代わりに自分自身を置くことができた後、最後に感染します。したがって、プログラムを実行すると、ウイルスが最初に実行されてから、プログラムが実行されます...よりスマートな亜種は、ファイルの最後に自分自身をコピーし、ファイルの先頭の最後にジャンプすることです(欠点は、ウイルス対策プログラムがウイルスのコードを(一度知っていれば)検索し、簡単に見つけることができることです。これは 80年代から90年代のカスケードウイルス...

    Cascade virus

  • それは部品で作ることができ、henot not it)は彼のshapeそしてプログラムのさまざまな部分に身を隠し、それらを移動し、暗号化し、スクランブルします。彼は新しいファイルに異なる方法で感染するたびに。そのため、ウイルス対策ソフトウェアは、指紋に残っているものしか見つけられない可能性があります-毎日識別するのが難しくなっています。

さて、あなたはウイルスが(通常)バイナリコードであることを覚えていますか?まあ、指紋もあります。
これらは完全なウイルスではなく数バイトしかないため、圧縮ファイル、データファイル、または画像の一部に、多くの既知のウイルスフィンガープリントのいずれかと同じバイトが含まれることがあります。ポジティブ。

結論:すべてのウイルスが損傷する予定はありませんでしたが、ほとんどのウイルスはそれを行います、de facto
銀行口座と支払請求書を備えたコンピューターを実際に使用することで、上記の画像ほどおかしくないように見えます。

136
Hastur

マルウェア対策アプリケーションには検疫オプションがあります。これは、次の2つの理由でデフォルトでオンになっていることが多いです。

  1. 誤検知の場合には、脅威と特定されたアイテムのバックアップを取ります。あまり一般的ではありませんが、私は多くの異なる正当なアプリケーションファイルとドライバに対して誤検知の事例を見ました。
  2. アイテムを検疫に保管することで、より適切な調査が可能になります。それがマルウェアのシグネチャと一致するという事実は、それがちょうど似ているという意味ではありませんが、実際には他の特殊性を持っているかもしれません。
89
Julie Pelletier

同じ理由で、(ほとんどの)政府は、わずかな挑発で路上でそれらを撃つのではなく、疑わしい犯罪者を逮捕します。

彼らが実際にはまったく犯罪を犯していない場合に備えて、あなたは容疑者に自らを防御する機会を与えたいと思います。そして、たとえ彼らが犯罪を犯したとしても、あなたはおそらくそれについて全てを知りたいと思うでしょう。

(たとえば)ウイルスは必ずしも「スタンドアロン」のバイナリ(.exe)ではありません。伝統的に、それらの多くは(多くの)通常の実行可能ファイルに自分自身を「アタッチ」します。 (したがって、Wordの選択は「感染する」)

したがって、マルウェアファイルの「削除」が唯一の選択肢ではありません。多くのAVは感染したファイルを「きれいにする」オプションを提供します。 (それ以外の通常のプログラムファイルからウイルス部分を削除します。通常のプログラムはその場所に残します)

「感染の拡大」は「マルウェアの実行」(可視プロセス.exe)に基づいているのではなく、実行中のanyに基づいていることが一般的です。プログラム "(Word、Excel)。 (またはそれらと一緒に通常の文書を開く)

「通常だが感染した」プログラムファイルを隔離場所に移動することは、感染を広げる感染を防ぐための最初のステップです。そこでは、毎日の運用中に継続的に実行される可能性は低くなります。

検疫は削除の前にあなたにオプションを与える。 「クリーニング」が失敗した場合他の場所に "より良いツール"がある場合。または万が一あなたがまだそれらすべての感染ファイルを必要とするなら。 (分析、データ復旧用)

1
user18099

場合によっては、アンチウイルスは重要なファイルを悪意のあるものと見なし、自動的に削除するのではなく、ファイルを実行またはアクセスできない場所で隔離し、そのアクションを通知します。

0
user615537