Anti-virüs yazılımı neden virüsleri, kötü amaçlı yazılımları vb. Silmiyor, bunun yerine karantinaya alıyor?


124

Anti-virüs yazılımı neden virüsleri, kötü amaçlı yazılımları vb. Tamamen silmiyor, bunun yerine karantinaya alıyor? Onlardan tamamen kurtulmak daha iyi değil mi? Neden? Ve bunları manuel olarak nasıl kaldırabilirim?


123
Birkaç hafta önce ClamWin AV docx, Word'ün Lehçe sürümünde oluşturulan tüm dosyaları kötü amaçlı olarak algılamaya başladı . ClamWin'i kendim kullanmıyorum, fakat sanırım karantinaya uğradıkları için minnettarlar.
gronostaj

10
Bu tartışma ilgili bir Sec.SE sorusu doğurdu .
Ben N

5
Kullandığım hemen hemen her virüsten koruma programı, belirli bir tehdit tespit edildiğinde ne olacağını seçmenize olanak sağlar (şüpheli dosyayı yok sayar, karantinaya alır veya siler ...).
Atılım

8
Bu soruyu görüş temelli olarak kapatmak isteyenler için : Karantinaya alınan, kanaatine dayalı olmayan düşüncelere dayanan sebepler vardır: yanlış pozitif, gelecekteki olasılıkla dosyayı kurtarma, virüslü dosyayı kısmen kurtarma, virüsü çalışma imkanı. . seçim tutmak saklamak isteyip için onları sonunda kişisel olabilir, hatta tamamen keyfi değilse: bir dosya dağıtılmış bir (bir program parçası) olduğu gerçekten eğer kopyalamak mümkündür / güvenli bir kaynaktan indirmek ve orijinali yerine virüslü kopyayı saklamanıza gerek kalmadan Bizim tarafımızdan yapılanlar için bir şans yok (burada kişisel)
Hastur

6
Yıllar önce, adı Bahsetmek (olmaz bir AV paketi öksürük Symantec öksürük rutin bir gecede tarama sırasında bulaşmış gibi) sistem DLL bayrak yüzlerce karar verdi. Doğal olarak, Windows yeniden başlatıldığında işletim sisteminin yarısını karantina altına almak iyi geçmedi. Makine tamamen tuğlaydı ve güvenli modda bile önyükleme yapılamadı. Bu yüzden HD'yi makineden çıkarmak, ikinci bir sürücü olarak başka bir makineye koymak ve DLL'leri ait oldukları yere geri taşımak zorunda kaldım. Bu başarmak için tam bir gün sürdü. Karantina yerine bu dosyalar silinmiş olsaydı ne olacağını düşünün.
Carey Gregory,

Yanıtlar:


135

Gerçekleştirilmezse virüsler ve zararlı yazılımlar tehlikeli değildir.
Karantinadaki bir dosya kullanıcı tarafından çalıştırılamaz ve kötü amaçlı kodun (virüs veya kötü amaçlı yazılım ) işlem yapma imkanı yoktur. Virüs / kötü amaçlı yazılım çıkarılabilirse, hemen kaldırılır.
Değilse, dosya karantinaya taşınır.

Bunun farklı nedenleri var :

  • Yanlış pozitif (diğer cevapların da vurguladığı gibi, daha fazla açıklama için aşağıya bakınız ).
  • Dosyayı kurtarmak için gelecekteki olasılık (virüs kodunu orijinal dosyanın içine ekler ve orijinal kodun bir bölümünü başka yere taşır / şifreler / gizler. Şu anda dosyayı kurtarmak mümkün değildir, ancak belki yakın bir gelecekte olacaktır).
    Aslında, dosya benzersizse (örneğin, bilgisayarın sahibi tarafından oluşturulmuşsa) ve bir şekilde değerliyse , kullanıcı, hala ondan kurtarması mümkün olan tüm parçaları kurtarmanın bir yolunu bulabilir. Bir tezin (veya görüntünün) bir kısmı her zaman hiç olmamasından iyidir.
  • Virüsten koruma şirketi tarafından virüsü inceleme veya virüs bulaşmış diğer bilgisayarları tek tek ayırt etme imkanı (bir virüs tarafından saldırıya uğramış bir dosyanız olduğunu varsayalım. İmzası md5sumdeğişir , değişir. Birçok bilgisayarda aynı dosyaya sahipsiniz. Saldırıya uğradıklarını tahmin edebilirler. Eğer yedeklerinizi kontrol ederseniz virüsün ilk etkilenişini bulabilirsiniz).
    Not: tarihsel olarak "karantina" , virüsün gelişip gelişmediğini görmek için Kara Ölüm'ün dağılmasını önlemek amacıyla şehre girmeden önce gemiler ve insanlar için 40 günlük bir izolasyon süresidir. Bilgisayarlarımızda karantina, şüpheli dosyaları virüsün herhangi bir eylemini gözlemlemeden etkisiz tutmak için güvenli bir yerdi.

  • Karantinaya , değiştirilen yürütülebilir bir dosya bile verebilir .
    Yeniden derlediğiniz bir programınız ya da normal pencerelerle güncellenmeyen açık kaynaklı bir programınız olduğunu hayal edin: antivirüs, exeyönetilebilir bir dosyadaki etkinlikleri (yazmayı) fark eder ve karantinaya alır.
    Ayrıca, aktif içeriğe sahip bazı dosyalar (örneğin, Word veya eXcel macro ... gibi) olduğu için, bazı antivirüsler çalıştırılabilir kısımlardaki farklılıkları tespit edebilir ve virüsün etkisiyle üretilenleri yorumlayabilir.

  • Bir virüsten saldırıya uğramış bir dosyanın aynı sürümüne farklı yollardan sahipseniz , bu sürümlerin verilerini çaprazlayarak ve analiz ederek dosyayı (teorik olarak) kurtarmak mümkün olabilir.

Daha fazla açıklama
Karantinanın neden var olduğunu, neden yanlış pozitifler olabileceğini ve bunun neden her gün devam eden bir savaş olduğunu anlamak için bir virüs ve virüsten koruma yazılımı gibi düşünün.

Bir virüs (veya bir kötü amaçlı yazılım ), programlananın amacını yerine getiren derlenmiş bir koddur.
Derlenmiş kod olarak, ikilidir (genellikle) ve metin değildir (okuduğunuz gibi). Bu zorundadır yaymak kendisini ve bazı yürütmek için ödev (bir misyon, teknik olarak bir yük ), mutlaka aynı anda (bu tespit edilmeden önce bulaşma olasılığını artırır) de.

Bir virüs kendini nasıl bulaştırıp çalıştırabilir?

  • Basitçe orijinal kod (bir kısmını üzerine yazabilirsiniz exe, dll, com... dosyaları) ve bunun yerine kodunu koydu.

    DOS virüsü
    Böyle bir modda çalışan eski bir DOS virüsü örneği .
    Dezavantajı orijinal programın çalışmasını durdurabilmesi ve virüsün daha hızlı algılanabilmesidir (Örn: "... merhaba programım çalışmıyor ... garip şeyler oluyor ... yardımcı olabilir misiniz? - Evet efendim virüs " ).

  • Virüs bulaşacak dosyanın ilk kısmını kopyalayıp, ilk kısım yerine kendisini koyabilir. Böylece programı çalıştırdığınızda, virüs ilk önce çalıştırılır ve ancak daha sonra program çalıştırılır ... Daha akıllı bir değişken, dosyanın sonunda kendisini kopyalamak ve dosyanın başına bir sıçrama koymaktır ( ve bir tanesi de başından sonuna kadar)… Dezavantajı, bir virüsten koruma yazılımının virüs kodunu (bir zamanlar bilinen) arayabilmesi ve kolayca bulabilmesidir. Bu , 80'lerin 90'larındaki Cascade virüsünde oldu ...

    Cascade virüsü

  • Bu parçaların yapılabilir ve o ( değil bunu unutmayın onun değiştirebilir) şeklini , şifrelemek ve kapış ve programın farklı bölgelerinde kendini gizlemek, taşıyın. Her seferinde yeni bir dosyaya farklı bir şekilde bulaştırabilir. Bu nedenle antivirüs yalnızca parmak izlerinde kalıntı bulabilir - her gün tanımlaması daha zordur.

Şimdi, virüsün (genellikle) ikili kod olduğunu hatırlıyor musunuz? Parmak izleri de öyle.
Tam virüs olmadıklarından, sadece bir kaç bayt olduklarından, sıkıştırılmış bir dosyanın, veri dosyasının veya görüntünün bir kısmının bilinen birçok virüsün parmak izinden birinin baytı olduğu, dolayısıyla yanlış pozitif olduğu görülebilir.

Kesin not: tüm virüslerin zarar vermesi planlanmamıştır, ancak çoğu bunu fiili olarak yapar .
Banka hesaplarının ve faturalarının ödenmesi gereken bilgisayarların fiili kullanımıyla, yukarıdaki resimler kadar eğlenceli görünmüyor.


4
Dosyayı gelecekteki kurtarma olasılığı nedeniyle özellikle + 1'ledi - bir zamanlar bu antivirüs yazılımı için standart bir işlemdi!
kabarık

3
@MSalters. Hayır, ne yazık ki otomatik düzeltme yok. Mecazi konuşuyordum (ya da en azından denedim): bir virüs dosyadan diğerine yayılıyor (belki başka bir bilgisayar ...). Sonra bir dosyada bulunur (ev bulur). Sonra bekler ... sonra ne için öğretildiğini çalıştırır (programlanmış). Buradan “ev ödevi” terimini görev” olarak okuyabilirsiniz , daha açık olmalı, ancak bir virüsü asker olarak görmeniz daha çok bir şeydir. Btw nokta için teşekkürler, cevap güncellendi.
Hastur

41
"O (not et)" bölümünü merak ediyorum. Ne hakkındaydı?
Alpha,

3
"Karantinada bir çalıştırılabilir bile bitebilir" ifadesiyle "bitti" kelimesinin ne anlama geldiğini çözemiyorum. Bunu açıklayabilir misin?
Tanner Swett

4
@ Alfa (ve diğerleri ...) Bu tür virüsleri "algılama" yöntemiyle ilgili kişisel bir şey . Oluşturucular, kör bir şekilde, herhangi bir parlaklık sergilemeden, temel görevleri gerçekleştirdiler. Ama sonra kendilerini değiştirmeye, saklanmaya ve uyumaya , kendilerini şifrelemeye, bir şekilde evrimleşmeye başladılar ... - kolayca bulunabilecek çeşitlerin, onları öldürme girişimlerine direnerek hayatta kalma olasılıkları yoktu; bak: kullandığım "hayatta" & "öldürmek" hayatta sanki örtük yüzden bir daha o değil ... Onlara İstihbarat ifadesi olarak haysiyet çeşit tanımaya başlamak, o veya o isterseniz.
Hastur

89

Kötü amaçlı yazılımdan koruma uygulamaları, iki nedenden dolayı varsayılan olarak açık olan bir karantina seçeneği sunar:

  1. Yanlış bir pozitif olması halinde tehdit edici olarak tanımlanan öğelerin bir yedeğini alın. Çok yaygın olmasa da, birçok farklı meşru uygulama dosyası ve sürücüsünde yanlış pozitif durumlar gördüm.
  2. Maddenin karantinaya alınması, daha iyi araştırılmasını sağlayabilir. Bir kötü amaçlı yazılım imzasıyla eşleşmesi, yalnızca benzer olduğu ancak aslında başka özelliklere sahip olabileceği anlamına gelmez.

39
Ayrıca, kötü amaçlı yazılım, Word belgesi veya benzeri gibi gerçekten istediğiniz bir dosyaya gömülmüşse, doğrudan silme, kullanıcıların bakış açısından en kötü seçenek olabilir. Karantina, en azından içeriği geri kazanmanız için riskli olmasına rağmen size bir şans verir.
Mokubai

8
Ek olarak, kötü amaçlı yazılımdan koruma yazılımının, sınıflandırmada sizden farklı bir anlayışı olabilir. Bazı virüsten koruma yazılımlarının SysAdmin araçlarını kötü amaçlı yazılım olarak algıladığı biliniyor ve bazılarını USB-Stick'imin yarısını silerken bazı şirketlerden ve okullardan bilgisayarlara ne zaman bağlandığımı sormadan buldum. netcat, wireshark, vb. bilinen adaylardır. Ayrıca, yüksek lisans tezinin bir kopyasını bir USB-Stick'te depolayan insanları gördüm. Umarım anti-malware tarayıcı yanlış pozitif olarak algılamıyor ve sormadan siler.
H. Idden,

13
Çok yaygın değil mi? Sanırım antivirüsümün tespit ettiği neredeyse tüm tespitler yanlış pozitifler.
Oriol,

6
@JuliePelletier Yanlış pozitiflerin oranı, kullanıcının eylemlerinden büyük ölçüde etkilenir. Asla bir virüs, kötü amaçlı yazılım veya benzeri bir şeyim yok çünkü çok dikkatliyim. Bu, otomatik olarak çoğu (tümü değilse) algılamaların yanlış pozitif olmasını sağlar. Tabii ki hala bir antivirüs kullanıyorum :).
Mixxiphoid

3
@Mokubai Bir virüsün meşru dosyalara viri imzası ekleyerek hasara neden olabileceği ilginç bir fikirdir - av'nın kirli işleri yapmasını sağlar.
emory

72

Aynı nedenle (çoğu) hükümet, şüpheli suçluları en az provokasyonla sokakta vurmak yerine tutuklar:

Herhangi bir suç işlememiş olmaları durumunda, şüpheliye kendilerini savunma şansı vermek istiyorsun. Ve bir suç işlemiş olsalar bile, muhtemelen her şeyi öğrenmek istersiniz.


38
Bu benzetmeyle, en azından varsayılan olarak silen bazı antivirüsler olmalı ...
PlasmaHH

5
@ ΈρικΚωνσταντόπουλος: Ne saçma bir ifade . Windows 7 de "yok" mu?
Orbit'teki Hafiflik Yarışları,

9
@ ΚΚωρικΚωνσταντόπουλος: İnsanlar Windows 7 ve 8'i uzun süre kullanacaklar. Bir yıllık yazılımın "varolmadığı" hiçbir şey yoktur. Bu kadar saçmalama!
Orbit'teki Hafiflik Yarışları,

14
@ ΚΚωρικΚωνσταντόπουλος Windows 7, 2020 yılına kadar destek verdi, dostum; Windows 8 2023'e kadar. Amacınızı belirlemek için mücadele ediyorum. Bu ne?
Orbit'teki Hafiflik Yarışları,

20
@ ΈρικΚωνσταντόπουλος Evet, 2023'te. Amacınız nedir?
Orbit'teki Hafiflik Yarışları,

1

Virüsler (örneğin) mutlaka bir "tek başına" ikili (.exe) değildir. Geleneksel olarak, birçoğu kendilerini (çoğu) normal çalıştırılabilirlere "bağlar". (dolayısıyla kelimenin seçimi: "enfekte")

Bu nedenle, kötü amaçlı yazılım dosyasının "silinmesi" tek seçenek değildir. Birçok AV virüslü dosyaları "temizleme" seçeneği sunar. (virüs bölümünü normal program dosyalarından kaldırın. Normal programı olduğu yerde bırakın.)

"Enfeksiyonun yayılması", daha sonra "kötü amaçlı yazılımın çalıştırılması" (görünür işlem .exe) - ancak herhangi bir "normal programın" çalıştırılmasına (Word, Excel) dayanmaz. (veya bunlarla normal bir belge açın)

"Normal ancak virüslü" program dosyasını karantinaya almak , enfeksiyonun yayılmasını durdurmak için ilk adımdır . Orada, her gün ameliyat sırasında sürekli yürütülmesi daha az olasıdır.

Karantina, silmeden önce size seçenekler sunar. "Temizlik" başarısız olması durumunda. Başka bir yerde "daha iyi bir araç" varsa diye. Veya hala tüm bu virüslü dosyalara ihtiyacınız varsa. (analiz, veri kurtarma için)


0

Bazen virüs önleyici yazılımlar önemli dosyalarınızı kötü amaçlı olarak düşünebilir ve bunları otomatik olarak silmek yerine, dosyalarınızı çalıştıramayacakları veya erişemeyecekleri yerlerde karantinaya alır ve işlemlerini size bildirir.


Süper Kullanıcıya Hoşgeldiniz! Bu cevap konuya yeni bir şey eklemez. Cevap olarak bir şey göndermeden önce lütfen diğer cevapları okuyun.
rahuldottech
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.