#1 楼
如果不执行,病毒和恶意软件就不会造成危险。用户无法执行隔离区中的文件,并且恶意代码(病毒或恶意软件)无法执行。如果可删除病毒/恶意软件,则会立即将其删除。
如果不能删除,则文件将被隔离。
造成这种情况的原因多种多样:
误报(也有其他答案所强调,请参见下文的进一步说明)。
将来恢复文件的可能性(该病毒将其代码添加到原始文件中,并将原始代码的一部分移动/加密/隐藏在某处。目前无法恢复该文件,但是可能在
实际上,如果文件是唯一的(例如,由计算机所有者创建的文件)并且某种程度上很有价值,那么用户可能会找到一种方法来恢复所有仍可能的部分从中恢复。论文的一部分(或图像)总比没有好。
可以由防病毒公司研究该病毒,或者可以将其他计算机与感染进行个性化设置(假设您有受病毒攻击的文件)。它的签名
md5sum发生了变化。您在多台计算机上使用的文件都是相同的。如果签名相同,则可以猜测它们已受到攻击。如果您检查备份,则可以发现病毒第一次起作用。注意:从历史上看,“隔离区”是在进入城市之前将船只和人员隔离40天的时间,以防止黑死病的扩散,以查看病毒是否发展。在我们的计算机上,隔离只是保持可疑文件不活动的安全场所,而无需观察病毒的任何行为。 在隔离区中甚至可以更改一个可执行文件。
想象一下,您有一个重新编译的程序或一个不通过常规Windows方法更新的开源程序:防病毒软件可以注意到
exe -cutable文件上的活动(写入),并将其放入隔离区。此外,从那以后是一些具有活跃内容的文件(例如Word或eXcel宏...),某些防病毒软件可以发现可执行部分中的差异,并解释由病毒作用产生的差异。
如果您使用相同的版本对通过病毒攻击的文件以不同方式进行攻击,(理论上)可以通过交叉和分析这些版本的数据来恢复文件。
进一步的解释
像病毒和病毒一样一种防病毒软件,以了解为什么存在隔离区,为何可能存在误报以及为何这场斗争每天都在继续。
病毒(或恶意软件)是一种已编译的代码,其执行的目的是出于编程目的。
作为已编译的代码,它是二进制(通常)而不是文本(如您所愿)阅读)。它必须传播自己并执行一些作业(任务,从技术上说是有效载荷),而不必同时执行(这增加了在被感染之前传播感染的可能性)。
病毒如何传播并被执行?
它可以覆盖部分原始代码(
exe,dll,com ...文件)并放入其代码。 
以这种模式运行的古老DOS病毒的示例。缺点是原始程序可能会停止运行,并且可能会更快地检测到该病毒(例如:“ ...你好,我的程序无法正常工作...奇怪的事情正在发生...你能帮忙吗?-是的,先生,你有病毒“)。
它可以在文件末尾而不是第一部分之后复制要感染文件的初始部分。因此,当您执行该程序时,首先执行该病毒,然后才执行该程序。一个更聪明的变体是将自身复制到文件末尾,然后跳到文件末尾(缺点是反病毒可以搜索病毒代码(一旦知道)并轻松找到它。这是在80年代至90年代的级联病毒中发生的...
它可以由零件制成,并且他(请注意)可以改变其形状并隐藏自己在程序的不同部分中进行移动,加密和加扰。每次他可能以不同的方式感染新文件。因此,防病毒软件只能在指纹中找到残留物,而他每天都很难识别。
现在,您还记得该病毒(通常是二进制代码)吗?好吧,指纹也一样。
由于它们不是完整的病毒,而只有几个字节,因此压缩文件,数据文件或图像的一部分可能具有许多已知字节之一的相同字节。病毒指纹-因此是假阳性。
结论性提示:并非计划对所有病毒进行破坏,但事实上大多数都可以破坏。
在实际使用带银行计算机的情况下帐户和要支付的账单,看起来似乎没有上面的图片那么有趣。
评论
+1尤其是因为将来有可能恢复文件-曾几何时,这是防病毒软件的标准操作过程!
–蓬松
16年7月4日在7:55
@MSalters。不,可惜没有自动校正。我是在比喻地说(或者至少是我想这样做):病毒从文件传播到另一个文件(可能是另一台计算机...)。然后将其驻留在文件中(找到主目录)。然后它等待...然后执行所教的内容(为之编程)。从这里可以将“作业”一词理解为“任务”,它应该更清楚,但是更像是将病毒视为士兵。顺便说一句谢谢现场,答案更新。
–Hastur
16年7月4日在8:39
我对“他(请注意)”部分感到好奇。那是关于什么的?
– Alpha
16年7月4日在18:20
在“在隔离区甚至可以完成一个可执行文件”这一短语中,我无法弄清楚“完成”一词的含义。你能澄清一下吗?
– Tanner Swett
16年7月4日在20:27
@Alpha(及其他...)是个人的,与我“感知”这种病毒的方式有关。前者盲目地执行了基本任务,没有任何光彩。但是后来他们开始进行自我修改,以躲藏起来并保持睡眠状态,对自身进行加密,并以某种方式不断发展……-易于发现的变体无法抵抗您杀死它们的企图;看起来:我用“生存”和“杀人”来表达,隐含地我开始认识到它们是一种有尊严的智力表达,好像它们还活着……所以不再是它了,但如果您愿意,他还是她。
–Hastur
16年7月5日在8:24
#2 楼
反恶意软件应用程序提供了一个隔离选项,由于两个原因,该选项通常默认情况下处于启用状态:保留备份,以防误报。尽管不是很常见,但我已经看到许多不同的合法应用程序文件和驱动程序出现误报的情况。
将项目隔离在隔离区中可以使它得到更好的调查。它与恶意软件签名相匹配的事实并不意味着它与之相似,但实际上可能具有其他特殊性。
评论
此外,如果恶意软件已将其自身嵌入到您真正想要的文件中,例如Word文档或类似文件,则从用户角度来看,彻底删除可能是最糟糕的选择。隔离至少可以使您有机会(尽管有风险)取回其中的内容。
–Mokubai♦
16年7月3日在8:03
此外,在分类方面,反恶意软件可能与您有不同的了解。众所周知,某些防病毒软件会将SysAdmin工具检测为恶意软件,我发现其中一些删除了我的USB-Stick的一半,而没有询问我何时将其连接到某些公司和学校的计算机。 netcat,wireshark等是已知的候选人。我还看到人们将他们唯一的硕士论文副本存储在USB-Stick上。我希望反恶意软件扫描程序不要将其检测为误报,并在不询问的情况下将其删除。
– H. Idden
16年7月3日在14:56
不是很常见吗?我认为我的防病毒软件几乎所有检测结果都是假阳性。
– Oriol
16年7月3日在17:49
@JuliePelletier误报率在很大程度上受用户操作的影响。我从来没有病毒,恶意软件或类似的东西,因为我非常小心。这会自动使大多数(如果不是全部)检测结果均为假阳性。我当然仍然使用防病毒软件:)。
–混合性恐惧症
16年7月4日在8:25
@Mokubai这是一个有趣的想法,即病毒可以通过向合法文件中添加viri签名而造成破坏,从而使AV做脏活。
–emory
16年7月4日在22:31
#3 楼
出于同样的原因,(大多数)政府逮捕嫌疑犯,而不是丝毫挑衅地将他们枪杀在街上:您想给嫌疑犯一个为自己辩护的机会,以防他们实际上没有完全不犯罪。而且,即使他们确实犯了罪,您也可能想了解所有有关这件事。
评论
以此类推,默认情况下至少应该有一些防病毒软件删除...
– PlasmaHH
16年7月3日在15:31
@ΈρικΚωνσταντόπουλος:真是荒谬的说法。 Windows 7是否也“不存在”?
–轨道轻度竞赛
16年7月5日在10:40
@ΈρικΚωνσταντόπουλος:人们将长期使用Windows 7和8。已有一年之久的软件没有什么“不存在”的。别傻了!
–轨道轻度竞赛
16年7月5日在10:52
Windows 7已将支持延长到2020年,伙计; Windows 7已将支持延长到2020年。 Windows 8直至2023年。我正在努力探寻您的观点。它是什么?
–轨道轻度竞赛
16年7月5日在10:57
@ΈρικΚωνσταντόπουλος是的,在2023年。您的意思是什么?
–轨道轻度竞赛
2016年7月5日在11:08
#4 楼
有时反病毒可能会将您的重要文件视为恶意文件,而不是自动删除它们,而是隔离无法执行或访问您文件的位置并通知您其行为。评论
欢迎来到超级用户!这个答案没有给线程增加任何新内容。发布内容作为答案之前,请先阅读其他答案。
–撤消
16年7月31日在7:50
#5 楼
病毒(例如)不一定是“独立”二进制文件(.exe)。传统上,他们中的许多人将自己“附加”到(许多)正常的可执行文件上。 (因此选择单词“ infect”(感染))因此,“删除”恶意软件文件不是唯一的选择。许多AV提供了“清除”受感染文件的选项。 (从其他正常程序文件中删除病毒部分。将正常程序保留在原处。)
然后,“传播感染”将不会基于“运行恶意软件”(可见进程.exe)。 -但基于运行任何“常规程序”(Word,Excel)。 (或使用这些文件打开普通文件)。
将“正常但已感染”的程序文件移动到隔离位置,是停止传播感染的第一步。在那里,它不太可能在每天的操作中连续执行。
隔离为您提供了删除之前的选项。
以防“清理”失败。如果其他地方有“更好的工具”。或者,如果您仍然需要所有这些受感染的文件。 (用于分析,数据恢复)
评论
几周前,ClamWin AV开始检测以波兰语版本的Word创建的所有docx文件为恶意文件。我自己不使用ClamWin,但是我猜那些确实感谢隔离的人。讨论产生了一个与SE相关的问题。
我使用的几乎每个防病毒程序都可以让您选择检测到特定威胁时发生的情况(它是否忽略,隔离或删除了可疑文件...)。
对于那些要求以观点为基础来关闭此问题的人:有一些将文件放入隔离区的原因不是基于观点的:误报,将来恢复文件的可能性,部分恢复受感染文件的可能性,研究病毒的可能性。保留或不保留它们的选择最终可能是个人的,即使不是完全任意的:实际上,如果文件是分布式文件(程序的一部分),则可以从安全来源复制/下载文件并替换原始文件。无需保留受感染的副本。没有机会代替我们(这里是个人的)制造的机会
许多年前,一个我不愿提及的AV软件包(coughSymanteccough)决定在常规的夜间扫描过程中将数百个系统DLL标记为受感染。自然地,重新启动Windows时隔离一半的操作系统运行不佳。机器完全变砖了,即使在安全模式下也无法启动。因此,我必须从计算机上删除HD,将其作为第二个驱动器放在另一台计算机中,然后将DLL移回它们所属的位置。这花费了整整一天的时间。考虑一下如果删除而不是隔离这些文件会发生什么情况。