سؤال لماذا لا يحذف برنامج مكافحة الفيروسات الفيروسات والبرامج الضارة وما إلى ذلك ، ولكن بدلاً من ذلك عزلها؟


لماذا لا يقوم برنامج مكافحة الفيروسات بحذف الفيروسات والبرامج الضارة وما إلى ذلك ، ولكن بدلاً من ذلك عزلها؟ أليس من الأفضل التخلص تماما منهم؟ لماذا ا؟ وكيف يمكنني إزالتها يدويًا؟


122
2017-07-03 07:22


الأصل


قبل بضعة أسابيع بدأت ClamWin AV في اكتشاف كل شيء docx الملفات التي تم إنشاؤها في إصدار اللغة البولندية من Word كما الخبيثة. أنا لا أستعمل ClamWin بنفسي ، لكني أخمن أولئك الذين كانوا ممتنين لوجود حجر صحي. - gronostaj
هذه المناقشة ولدت المتعلقة Sec.SE السؤال. - Ben N
كل برنامج مضاد للفيروسات الذي استخدمته تقريباً يتيح لك اختيار ما يحدث عند اكتشاف تهديد معين (سواء كان ذلك يتجاهل أو يفقد أو يحذف الملف المشتبه به ...). - Breakthrough
إلى أولئك الذين يسألون لإغلاق هذا السؤال باسم الرأي القائم: هناك أسباب لوضع الملفات في الحجر الصحي التي لا تستند إلى رأي: إيجابية كاذبة ، إمكانية في المستقبل لاستعادة الملف ، والانتعاش الجزئي للملف المصابة ، إمكانية دراسة الفيروس ... الاختيار للحفاظ على أو عدم الاحتفاظ بها يمكن أن تكون في نهاية المطاف شخصية ، حتى لو لم تكن تعسفية تماما: في الواقع إذا كان الملف هو واحد موزعة (جزء البرنامج) فمن الممكن نسخ / تنزيله من مصدر آمن واستبدال النسخة الأصلية دون الحاجة للحفاظ على نسخة المصابة. لا توجد فرصة بدلا من تلك التي قدمها لنا (هنا الشخصية) - Hastur
قبل عدة سنوات حزمة AV التي لن أذكر اسمها (سعالسيمانتيكسعال) قررت أن ترفع المئات من نظام DLLs على أنها مصابة خلال مسح يومي روتينى. بطبيعة الحال ، لم يكن الحجر الصحي في نصف نظام التشغيل جيدًا عند إعادة تشغيل Windows. تم خراطة الآلة تمامًا ولا يمكن تمهيدها حتى في الوضع الآمن. لذلك اضطررت إلى إزالة HD من الجهاز ، ووضعها في جهاز آخر كمحرك أقراص ثانٍ ، ونقل DLLs إلى المكان الذي تنتمي إليه. استغرق هذا يوم كامل لتحقيقه. ضع في اعتبارك ما يمكن أن يحدث إذا تم حذف هذه الملفات بدلاً من عزلها. - Carey Gregory


الأجوبة:


الفيروسات و ملورس ليست خطيرة إذا لم يتم تنفيذها.
لا يمكن تنفيذ ملف في وحدة العزل بواسطة المستخدم والرمز الخبيث (فيروس أو البرمجيات الخبيثة) ليس لديه إمكانية للتصرف. إذا كان الفيروس / البرامج الضارة قابلة للإزالة ، فستتم إزالتها على الفور.
إذا لم يتم نقل الملف إلى العزل.

هناك مختلف أسباب لهذا:

  • إيجابية كاذبة (كما شددت عليها إجابات أخرى كذلك ، انظر أدناه في المزيد من التوضيح).
  • إمكانية في المستقبل لاستعادة الملف (يضيف الفيروس كوده داخل الملف الأصلي ويقوم بنقل / إخفاء / إخفاء جزء من الكود الأصلي في مكان ما. في الوقت الحاضر لا يمكن استعادة الملف ولكن ربما في المستقبل القريب سيكون).
    في الواقع ، إذا كان الملف فريدًا (على سبيل المثال ، تم إنشاؤه من قبل مالك الكمبيوتر) وكان ذلك بطريقة ما ثمين، قد يجد المستخدم طريقة لاستعادة جميع الأجزاء التي لا يزال من الممكن استردادها منه. جزء من أطروحة (أو صورة) دائمًا أفضل من لا شيء.
  • إمكانية دراسة الفيروس من قبل شركة مكافحة الفيروسات أو لتمييز الكمبيوتر الآخر مع العدوى (دعنا نتخيل أن لديك ملفًا تم الهجوم عليه بواسطة فيروس. توقيعه ، md5sum التغييرات. لديك نفس الملف على العديد من أجهزة الكمبيوتر. إذا كان التوقيع هو نفسه يمكنك تخمين أنهم يتعرضون للهجوم. إذا قمت بتسجيل الوصول في النسخ الاحتياطية ، يمكنك العثور على أول مرة تصرف فيها الفيروس).
     ملاحظة: تاريخيا "quarantena" كانت فترة العزلة 40 يومًا للسفن والأشخاص قبل دخول المدينة من أجل منع انتشار الموت الأسود ، لمعرفة ما إذا كان الفيروس يتطور أم لا. على أجهزة الكمبيوتر لدينا ، الحجر الصحي هو مجرد مكان آمن للحفاظ على الملفات المشبوهة غير نشطة ، دون مراقبة أي إجراءات للفيروس.  

  • في الحجر الصحي يمكن أن ينتهي الأمر حتى الملف القابل للتنفيذ الذي تم تغييره.
    تخيل أن لديك برنامجًا تقوم بإعادة تجميعه أو برنامج مفتوح المصدر يتم تحديثه ليس من خلال النوافذ المعتادة: يستطيع برنامج مكافحة الفيروسات ملاحظة الأنشطة (الكتابة) على exeملف قابل للكسر ووضعها في الحجر الصحي.
    وعلاوة على ذلك هناك بعض الملفات مع المحتوى النشط (مثل ، على سبيل المثال ، Word أو eXcel macro ...) يمكن لبعض برامج مكافحة الفيروسات اكتشاف الاختلافات في الأجزاء القابلة للتنفيذ وتفسير تلك الناتجة عن عمل فيروس.

  • إذا كان لديك نفس الإصدار من هاجم ملف من فيروس بطرق مختلفة، يمكن (من الناحية النظرية) من الممكن لاستعادة الملف عن طريق عبور وتحليل البيانات من هذه الإصدارات.

المزيد من التوضيح
فكر كأنك فيروس ومضاد للفيروسات لفهم سبب وجود الحجر الصحي ، ولماذا يمكن أن تكون هناك إيجابيات خاطئة ولماذا تكون هذه المعركة مستمرة كل يوم.

فيروس (أو البرمجيات الخبيثة) هو رمز مترجم ينفذ الغرض الذي تمت برمجته.
كرمز جمع ، انها الثنائية (عادة) وليس النص (كما تقرأ). من المفترض ان بث نفسها وتنفيذ بعض واجب منزلي (مهمة ، من الناحية الفنية أ الحمولة) ، وليس بالضرورة في نفس الوقت (وهذا يزيد من إمكانية انتشار العدوى قبل اكتشافها).

كيف يمكن للفيروس أن ينتشر ويتم تنفيذه؟

  • ببساطة يمكن أن تحل محل جزء من الكود الأصلي (exe،dll،com... ملفات) ووضع رمزها بدلا من ذلك.

    DOS virus
    مثال على عتيق فيروس DOS الذي يعمل في مثل هذا الوضع.
    العيب هو أن البرنامج الأصلي يمكن أن يتوقف عن العمل والفيروس قد يتم الكشف عن أسرع (على سبيل المثال: "... مرحبا برنامجي لا يعمل ... أشياء غريبة تحدث ... هل يمكنك المساعدة؟ - نعم سيدي لديك فيروس").

  • يمكن نسخ الجزء الأولي من ملف للإصابة في نهايته ، بعد أن يضع نفسه بدلاً من الجزء الأول. لذا عند تنفيذ البرنامج ، يتم تنفيذ الفيروس أولاً ثم يتم تنفيذ البرنامج فقط ... هناك متغير أكثر ذكاءًا هو نسخ نفسه في نهاية الملف ووضع قفزة حتى النهاية في بداية الملف ( والعودة إلى بدايتها في نهايتها) ... العيب هو أن مكافحة الفيروسات يمكن البحث عن رمز الفيروس (مرة واحدة معروفة) ، والعثور عليها بسهولة. هذا ما حدث في فيروس كاسكيد في 80s-90s ... 

    Cascade virus

  • يمكن أن تكون مصنوعة من أجزاء و هو (لاحظ أنه لا) يمكن أن تغير له شكل وإخفاء نفسه في أجزاء مختلفة من البرنامج ، وتحريكها ، وتشفيرها وتهاويها. في كل مرة قد يصيب ملف جديد بطريقة مختلفة. لذلك قد لا تجد الفيروسات الحماية إلا في بصمات الأصابع - كل يوم يصعب تحديده.

الآن ، هل تتذكر أن الفيروس هو (عادة) رمز ثنائي؟ حسنا ، بصمات الأصابع هي أيضا.
نظرًا لأنها ليست فيروسًا كاملًا ولكن فقط عدد قليل من وحدات البايت ، فقد يحدث أن يكون جزء من ملف مضغوط ، أو ملف بيانات ، أو صورة له نفس البايتات من واحدة من العديد من بصمات أصابع الفيروسات المعروفة - ومن هنا جاءت النتيجة الإيجابية الخاطئة.

ملاحظة ختامية: لم يتم تخطيط جميع الفيروسات للتلف ، لكن معظمها قام بذلك ، بحكم الواقع.
مع الاستخدام الفعلي لأجهزة الكمبيوتر مع الحسابات المصرفية والفواتير لدفع ، فإنه لا يبدو مضحكا مثل الصور أعلاه.


135
2017-07-04 04:00



+1 على وجه التحديد بسبب إمكانية في المستقبل لاستعادة الملف - ذات مرة ، كانت هذه دورة قياسية لبرنامج مكافحة الفيروسات! - fluffy
MSalters. كلا ، للأسف لا التصحيح التلقائي. كنت أتحدث مجازيًا (أو على الأقل كنت أحاول): فيروس ينتشر من ملف إلى آخر (ربما كمبيوتر آخر ...). ثم يقيم في ملف (يجدها المنزل). ثم ينتظر ... ثم ينفذ ما تم تدريسه ل (مبرمجة ل). من هنا المصطلح "واجب منزلي"  يمكنك قراءتها "مهمة"، يجب أن يكون أكثر وضوحا ، ولكن أشبه إذا رأيت فيروس كجندي. راجع للشغل شكرا على الفور ، والإجابة على تحديثها. - Hastur
أنا فضولي حول "هو (لاحظ ليس هو)" جزء. ماذا كان هذا؟ - Alpha
في عبارة "في الحجر الصحي حتى يمكن الانتهاء من التنفيذ" ، لا أستطيع معرفة ماذا تعني كلمة "انتهى". هل يمكنك توضيح هذا؟ - Tanner Swett
Alpha (وغيرها ...) إنها شخصية ، تتعلق بالطريقة التي أتعامل بها "إحساس" هذا النوع من الفيروسات. قام المصممون بتنفيذ المهام الأساسية ، بشكل أعمى ، بدون أي عرض من أي نوع من التألق. ولكن بعد ذلك بدأوا في تعديل أنفسهم ، للاختباء والبقاء النائم، تشفير أنفسهم ، بطريقة ما تتطور ... - المتغيرات التي يسهل العثور عليها ليس لديها احتمالات البقاء على قيد الحياة لمقاومة محاولاتك ل قتل معهم؛ انظر: اعتدت "النجاة" و "القتل"، ضمنيًا ، بدأت أعرّفهم نوعًا من الكرامة كتعبير عن الذكاء ، كما لو كانوا أحياء ... لذلك ليس أكثر من ذلك هو،أو هي إذا كنت تفضل. - Hastur


توفر تطبيقات مكافحة البرامج الضارة خيار عزل ، والذي غالبًا ما يتم تشغيله افتراضيًا لسببين:

  1. احتفظ بنسخة احتياطية من العناصر التي تم تحديدها كتهديد في حالة إيجابية كاذبة. على الرغم من أنه ليس شائعًا جدًا ، إلا أنني رأيت حالات إيجابية كاذبة في العديد من ملفات وبرامج التشغيل الشرعية المختلفة.
  2. قد يسمح لك وجود العنصر في الحجر الصحي بالتحقيق بشكل أفضل. لا تعني حقيقة أنه يتطابق مع توقيع برامج ضارة أنها متشابهة فقط ولكن قد تكون لها في الواقع خصائص أخرى.

89
2017-07-03 07:32



بالإضافة إلى ذلك ، إذا كانت البرامج الضارة مدمجة في ملف تريده بالفعل ، مثل مستند Word أو ما شابه ، فقد يكون الحذف المباشر هو الخيار الأسوأ من منظور المستخدمين. الحجر الصحي على الأقل يمنحك فرصة ، مهما كانت محفوفه بالمخاطر ، للحصول على المحتويات. - Mokubai♦
بالإضافة إلى ذلك ، قد يكون لبرامج مكافحة البرامج الضارة فهم مختلف عنك في التصنيف. ومن المعروف أن بعض برامج مكافحة الفيروسات للكشف عن أدوات SysAdmin كما البرمجيات الخبيثة ووجدت بعض منهم حذف نصف بلدي USB- العصا دون أن أسأل عندما أقوم بتوصيله إلى أجهزة الكمبيوتر من بعض الشركات والمدارس. netcat ، wireshark ، وما إلى ذلك هي canditates معروفة. لقد رأيت أيضًا أشخاصًا يقومون بتخزين نسختهم الوحيدة من رسالة الماجستير الخاصة بهم على جهاز USB. آمل أن لا يكتشف جهاز مكافحة البرامج الضارة أنه كاذب ويحذفه دون طلب ذلك. - H. Idden
ليس شائع جدا؟ أعتقد أن جميع الاكتشافات التي أجريتها تقريبًا لمكافحة الفيروسات كانت إيجابية. - Oriol
JuliePelletier تتأثر نسبة الإيجابيات الكاذبة بشكل كبير بتصرفات المستخدم. لم يكن لدي فيروس أو برامج ضارة أو أي شيء من هذا القبيل لأنني متفرغ جدًا. هذا يجعل تلقائيا أن معظم (إن لم يكن كلها) الكشف عن ايجابيات كاذبة. ما زلت استخدام مكافحة الفيروسات بالطبع :). - Mixxiphoid
Mokubai وهي فكرة مثيرة للاهتمام أن الفيروس يمكن أن يسبب الفوضى عن طريق إضافة توقيع فيري إلى ملفات شرعية - مما يجعلها تفعل هذا العمل القذر. - emory


وللسبب نفسه ، فإن (معظم) الحكومات تقوم باعتقال المجرمين المشتبه بهم بدلاً من إطلاق النار عليهم في الشارع بأدنى استفزاز:

أنت تريد منح المشتبه به فرصة للدفاع عن نفسه ، في حال لم يرتكب أي جريمة على الإطلاق. وحتى لو ارتكبوا جريمة ، فربما تريدون معرفة كل شيء عنها.


72
2017-07-03 12:57



بهذا القياس ، يجب أن يكون هناك على الأقل بعض برامج مكافحة الفيروسات التي تحذف بشكل افتراضي ... - PlasmaHH
@ ΈρικΚωνσταντόπουλος: يا له من بيان مضحك. هل Windows 7 أيضًا "غير موجود"؟ - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος: سوف يستخدم الناس ويندوز 7 و 8 لفترة طويلة. لا يوجد شيء "غير موجود" حول برنامج قديم عمره عام واحد. لا تكن سخيفا جدا! - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος دعمت Windows 7 الدعم حتى عام 2020 ، ماتي ؛ ويندوز 8 حتى 2023. أنا تكافح للكشف عن وجهة نظرك. ما هذا؟ - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος نعم ، في عام 2023. ما هي وجهة نظرك؟ - Lightness Races in Orbit


الفيروسات (على سبيل المثال) ليست بالضرورة ثنائية (قائمة بذاتها) (.exe). تقليديا ، العديد منهم "نعلق" أنفسهم إلى (العديد) من الملفات التنفيذية العادية. (ومن هنا اختيار كلمة "infect")

ولذلك ، فإن "حذف" ملف البرامج الضارة ليس هو الخيار الوحيد. توفر العديد من AVs خيار "تنظيف" الملفات المصابة. (قم بإزالة جزء الفيروسات من ملفات البرنامج العادية. اترك البرنامج العادي في مكانه.)

عندئذٍ لن يعتمد "انتشار العدوى" على "تشغيل البرامج الضارة" (عملية مرئية. exe) - ولكن استنادًا إلى الجري أي "البرنامج العادي" (Word، Excel). (أو فتح وثيقة عادية مع تلك)

يعد نقل ملف برنامج "طبيعي ولكنه مصاب" إلى موقع الحجر الصحي ، خطوة أولى للتوقف الانتشار العدوى. هناك ، من المرجح أن يتم تنفيذه بشكل مستمر خلال كل يوم.

يوفر لك Quarantine خيارات ، قبل الحذف. في حال فشل "التنظيف". في حال كان لديك "أداة أفضل" في مكان آخر. أو في حال كنت لا تزال بحاجة إلى كل تلك الملفات المصابة. (للتحليل ، واستعادة البيانات)


1
2017-07-07 14:32





في بعض الأحيان ، قد تعالج الفيروسات المضادة ملفاتك المهمة على أنها ضارة ، وبدلاً من حذفها تلقائيًا ، تقوم بفصلها في مكان لا تستطيع فيه تنفيذ الملفات أو الوصول إليها وإعلامك بإجراءاتها.


0
2017-07-10 09:47



مرحبًا بك في Super User! هذه الإجابة لا تضيف شيئا جديدا إلى الموضوع. يرجى قراءة الإجابات الأخرى قبل نشر شيء كإجابة. - rahuldottech