सवाल एंटी-वायरस सॉफ़्टवेयर वायरस, मैलवेयर इत्यादि को क्यों नहीं हटाता है, बल्कि इसके बजाय उन्हें संगरोधित करता है?


एंटी-वायरस सॉफ़्टवेयर वायरस, मैलवेयर इत्यादि को पूरी तरह से क्यों नहीं हटाता है, बल्कि इसके बजाय उन्हें संगरोधित करता है? क्या उनसे पूरी तरह से छुटकारा पाने के लिए बेहतर नहीं है? क्यूं कर? और मैं उन्हें मैन्युअल रूप से कैसे हटा सकता हूं?


122
2017-07-03 07:22


मूल


कुछ हफ्ते पहले क्लैमविन एवी ने सभी का पता लगाना शुरू कर दिया था docx दुर्भावनापूर्ण के रूप में Word के पोलिश संस्करण में बनाई गई फ़ाइलें। मैं खुद क्लैमविन का उपयोग नहीं करता, लेकिन मुझे लगता है कि जो लोग क्वारंटाइन रखने के लिए आभारी थे। - gronostaj
इस चर्चा ने एक पैदा किया संबंधित Sec.SE सवाल। - Ben N
मेरे द्वारा उपयोग किए जाने वाले लगभग हर एंटी-वायरस प्रोग्राम से आप यह चुनने देते हैं कि जब कोई विशेष खतरा पता चला है तो क्या होता है (चाहे वह अनदेखा, संगरोध, या संदिग्ध फ़ाइल को हटा देता है ...)। - Breakthrough
इस सवाल को बंद करने के लिए पूछने वाले लोगों के लिए राय आधारित: क्वारंटाइन में फ़ाइलों को रखने के कारण हैं जो राय आधारित नहीं हैं: झूठी सकारात्मक, फ़ाइल को पुनर्प्राप्त करने की भविष्य की संभावना, संक्रमित फ़ाइल की आंशिक वसूली, वायरस का अध्ययन करने की संभावना ... विकल्प रखने या रखने के लिए नहीं वे अंततः व्यक्तिगत हो सकते हैं, भले ही पूरी तरह से मनमाना न हो: वास्तव में यदि कोई फ़ाइल एक वितरित (एक प्रोग्राम भाग) है तो इसे सुरक्षित स्रोत से कॉपी / डाउनलोड करना संभव है और संक्रमित प्रति को रखने की आवश्यकता के बिना मूल को प्रतिस्थापित करना संभव है। हमारे द्वारा किए गए लोगों के लिए कोई मौका नहीं (यहां व्यक्तिगत) - Hastur
कई साल पहले एक एवी पैकेज जिसका नाम मैं उल्लेख नहीं करता (खांसीसिमेंटेकखांसी) ने नियमित रातोंरात स्कैन के दौरान संक्रमित सैकड़ों सिस्टम डीएलएल को ध्वजांकित करने का निर्णय लिया। स्वाभाविक रूप से, विंडोज़ रिबूट होने पर आधा ऑपरेटिंग सिस्टम क्वारंटाइनिंग ठीक नहीं हुआ। मशीन पूरी तरह से ब्रश किया गया था और सुरक्षित मोड में भी बूट नहीं किया जा सका। इसलिए मुझे मशीन से एचडी को हटाना पड़ा, इसे दूसरी मशीन के रूप में दूसरी मशीन में रखा गया, और डीएलएल को वापस ले जाना पड़ा जहां वे थे। यह पूरा करने के लिए एक पूरा दिन लिया। गौर करें कि क्या होगा यदि उन फ़ाइलों को संगरोध के बजाय हटा दिया गया था। - Carey Gregory


जवाब:


वायरस और malwares निष्पादित नहीं होने पर खतरनाक नहीं हैं।
क्वारंटाइन में एक फ़ाइल उपयोगकर्ता और दुर्भावनापूर्ण कोड (वायरस या द्वारा निष्पादित नहीं की जा सकती है मैलवेयर) कार्य करने की कोई संभावना नहीं है। यदि वायरस / मैलवेयर हटाने योग्य है तो इसे तुरंत हटा दिया जाएगा।
अगर फ़ाइल को संगरोध में स्थानांतरित नहीं किया जाएगा।

वह अलग अलग है कारणों इसके लिए:

  • सकारात्मक झूठी (जैसा कि अन्य उत्तरों द्वारा भी जोर दिया गया है, नीचे देखें आगे की व्याख्या)।
  • फ़ाइल को पुनर्प्राप्त करने की भविष्य की संभावना (वायरस मूल कोड के अंदर अपना कोड जोड़ता है और कहीं भी मूल कोड के भाग / क्रिप्ट / छुपा भाग देता है। वर्तमान में फ़ाइल को पुनर्प्राप्त करना संभव नहीं है लेकिन शायद निकट भविष्य में यह होगा)।
    दरअसल अगर फ़ाइल अद्वितीय है (उदाहरण के लिए कंप्यूटर के मालिक द्वारा बनाई गई) और यह किसी भी तरह से है कीमती, उपयोगकर्ता को उन सभी हिस्सों को पुनर्प्राप्त करने का एक तरीका मिल सकता है जो अभी भी पुनर्प्राप्त करने के लिए संभव हैं। थीसिस (या एक छवि) का एक हिस्सा हमेशा कुछ भी नहीं है।
  • संभावना वायरस का अध्ययन करें एंटीवायरस कंपनी द्वारा या संक्रमण के साथ अन्य कंप्यूटर को अलग करने के लिए (आइए कल्पना करें कि आपके पास एक वायरस द्वारा एक फ़ाइल पर हमला किया गया है। इसका हस्ताक्षर, md5sum परिवर्तन। आपके पास कई कंप्यूटरों पर एक ही फाइल है। यदि हस्ताक्षर एक जैसा है तो आप अनुमान लगा सकते हैं कि उन्हें हमला किया जाता है। यदि आप अपने बैकअप में चेक इन करते हैं तो आप पहली बार वायरस का कार्य कर सकते हैं)।
     नोट: ऐतिहासिक रूप से "Quarantena" ब्लैक डेथ के प्रसार को रोकने के लिए शहर में प्रवेश करने से पहले जहाजों और लोगों के लिए 40 दिन अलगाव की अवधि थी, यह देखने के लिए कि क्या वायरस विकसित होता है या नहीं। हमारे कंप्यूटर पर क्वारंटाइन सिर्फ एक सुरक्षित जगह है जो संदिग्ध फाइलों को निष्क्रिय रखने के लिए होती है, बिना वायरस के किसी भी क्रिया को देखे।  

  • क्वारंटाइन में भी एक खत्म हो सकता है निष्पादन योग्य फ़ाइल जो बदली गई है।
    कल्पना कीजिए कि आपके पास एक प्रोग्राम है जिसे आप पुन: संकलित करते हैं या एक ओपन सोर्स प्रोग्राम जिसे सामान्य विंडोज़ तरीकों से अपडेट नहीं किया जाता है: एंटीवायरस गतिविधियों (लेखन) को नोटिस कर सकता है exe-कट करने योग्य फ़ाइल और इसे संगरोध में डाल दिया।
    इसके अलावा कुछ फाइलें हैं सक्रिय सामग्री (जैसे, उदाहरण के लिए, वर्ड या एक्सेल मैक्रो ...) कुछ एंटीवायरस निष्पादन योग्य हिस्सों में अंतर डाल सकते हैं और वायरस की क्रिया द्वारा उत्पादित की व्याख्या कर सकते हैं।

  • यदि आपके पास एक ही संस्करण है एक फाइल वायरस से विभिन्न तरीकों से हमला किया, यह इन संस्करणों के डेटा को पार और विश्लेषण करके फ़ाइल को पुनर्प्राप्त करने के लिए सैद्धांतिक रूप से संभव हो सकता है।

आगे की व्याख्या
एक वायरस और एक एंटीवायरस की तरह सोचें कि क्वारंटाइन क्यों मौजूद है, झूठी सकारात्मक क्यों हो सकती है और यह एक लड़ाई है जो हर दिन जारी है।

एक वायरस (या ए मैलवेयर) एक संकलित कोड है जो उस उद्देश्य के लिए निष्पादित करता है जिसके लिए प्रोग्राम किया गया था।
संकलित कोड के रूप में, यह है बाइनरी (आमतौर पर) और पाठ नहीं (जैसा कि आप पढ़ रहे हैं)। यह होना चाहिए प्रचार खुद और कुछ निष्पादित करने के लिए घर का पाठ (एक मिशन, तकनीकी रूप से ए पेलोड), एक ही समय में जरूरी नहीं है (यह पता लगाने से पहले संक्रमण फैलाने की संभावना बढ़ जाती है)।

एक वायरस खुद को कैसे प्रचारित कर सकता है और निष्पादित किया जा सकता है?

  • बस यह मूल कोड के एक हिस्से को ओवरराइट कर सकता है (exe,dll,com... फाइलें) और इसके बजाय अपना कोड डालें।

    DOS virus
    एक का उदाहरण प्राचीन डॉस वायरस जो काम करता है इस तरह के एक मोड में
    दोष यह है कि मूल प्रोग्राम काम करना बंद कर सकता है और वायरस तेजी से पता लगाया जा सकता है (उदा। "... हैलो मेरा कार्यक्रम काम नहीं कर रहा है ... अजीब चीजें हो रही हैं ... क्या आप मदद कर सकते हैं? - हाँ महोदय, आपके पास वायरस है")।

  • यह प्रारंभिक भाग की प्रतिलिपि बना सकता है संक्रमित होने के लिए फ़ाइल इसके अंत में, यह पहले भाग के बजाय खुद को रख सकता है। तो जब आप प्रोग्राम निष्पादित करते हैं, तो वायरस को पहली बार निष्पादित किया जाता है और केवल तभी प्रोग्राम निष्पादित किया जाता है ... फ़ाइल के अंत में स्वयं को कॉपी करने और फ़ाइल की शुरुआत में अंत तक कूदने के लिए एक बेहतर संस्करण है ( और इसके अंत में इसकी शुरुआत में एक बार) ... दोष यह है कि एंटीवायरस वायरस के कोड (एक बार ज्ञात) के लिए खोज कर सकता है और इसे आसानी से ढूंढ सकता है। यह हुआ 80 के दशक के दशक में कैस्केड वायरस ... 

    Cascade virus

  • यह भागों और से बना जा सकता है वह (ध्यान दें नहीं) उसे बदल सकते हैं आकार और कार्यक्रम के विभिन्न हिस्सों में खुद को छुपाएं, उन्हें स्थानांतरित करें, एन्क्रिप्ट करें और भटक जाएं। प्रत्येक बार जब वह एक नई फाइल को एक अलग तरीके से संक्रमित कर सकता है। इसलिए एंटीवायरस केवल फिंगरप्रिंट में रहता है - हर दिन उसे पहचानना मुश्किल होता है।

अब, क्या आपको याद है कि वायरस (आमतौर पर) बाइनरी कोड है? खैर, फिंगरप्रिंट भी हैं।
चूंकि वे पूर्ण वायरस नहीं हैं लेकिन केवल कुछ बाइट्स हैं, ऐसा हो सकता है कि संपीड़ित फ़ाइल, डेटा फ़ाइल या छवि का एक हिस्सा कई ज्ञात वायरस फिंगरप्रिंटों में से एक के समान बाइट्स है - इसलिए झूठी सकारात्मक।

निर्णायक नोट: सभी वायरसों को नुकसान पहुंचाने की योजना नहीं थी, लेकिन उनमें से ज्यादातर इसे करते हैं, वास्तव में
बैंक खातों और बिलों के भुगतान के साथ कंप्यूटर के वास्तविक उपयोग के साथ, यह ऊपर की छवियों के रूप में और अधिक हास्यास्पद प्रतीत नहीं होता है।


135
2017-07-04 04:00



इस पर विशेष रूप से +1 फ़ाइल को पुनर्प्राप्त करने की भविष्य की संभावना - एक समय पर यह एंटीवायरस सॉफ़्टवेयर के लिए ऑपरेशन का एक मानक कोर्स था! - fluffy
@MSalters। नहीं, दुख की बात है कि कोई ऑटो-सुधार नहीं है। मैं मूर्तिकला से बात कर रहा था (या कम से कम मैं कोशिश कर रहा था): एक वायरस एक फ़ाइल से दूसरे में फैलता है (शायद एक और कंप्यूटर ...)। फिर यह एक फाइल में रहता है (यह घर पाता है)। फिर यह इंतजार कर रहा है ... फिर यह निष्पादित करता है कि इसे किसके लिए सिखाया गया था (प्रोग्राम किया गया)। यहां से शब्द "घर का पाठ"  आप इसे पढ़ सकते हैं "मिशन", यह और अधिक स्पष्ट होना चाहिए, लेकिन यह एक ऐसा लगता है जैसे आप एक सैनिक के रूप में एक वायरस देखते हैं। स्पॉट के लिए बीटीडब्ल्यू धन्यवाद, उत्तर अपडेट किया गया। - Hastur
मैं "वह (नोट नहीं)" भाग के बारे में उत्सुक हूँ। वह किसके बारे में था? - Alpha
वाक्यांश में "क्वारंटाइन में भी एक निष्पादन योग्य समाप्त किया जा सकता है", मैं यह नहीं समझ सकता कि "समाप्त" शब्द का अर्थ क्या है। क्या आप इसे स्पष्ट कर सकते हैं? - Tanner Swett
@ अल्फा (और अन्य ...) यह व्यक्तिगत है, जिस तरह से मैं "समझ" उस तरह के वायरस। फॉर्मर्स ने किसी भी प्रकार की प्रतिभा के प्रदर्शन के बिना, अंधेरे से बुनियादी कार्यों को निष्पादित किया। लेकिन फिर उन्होंने छिपाने और रहने के लिए खुद को संशोधित करना शुरू कर दिया स्लीपर, स्वयं को एन्क्रिप्ट करना, किसी भी तरह विकसित हो रहा है ... - जिन तरीकों को ढूंढना आसान है, उनके प्रयासों में विरोध करने के लिए जीवित रहने की कोई संभावना नहीं थी हत्या उन्हें; देखो: मैंने इस्तेमाल किया "जीवित" और "मारो", निस्संदेह मैं उन्हें कुछ प्रकार की गरिमा को इंटेलिजेंस की अभिव्यक्ति के रूप में पहचानना शुरू कर देता हूं, जैसे कि वे जीवित थे ... तो अब और नहीं, वह, या वह आप चाहें तो। - Hastur


एंटी-मैलवेयर अनुप्रयोग एक संगरोध विकल्प प्रदान करते हैं, जो अक्सर दो कारणों से डिफ़ॉल्ट रूप से होता है:

  1. झूठी सकारात्मक स्थिति में धमकी देने वाले आइटमों का बैकअप रखें। हालांकि बहुत आम नहीं है, मैंने कई अलग-अलग वैध एप्लिकेशन फ़ाइलों और ड्राइवरों पर झूठी सकारात्मक के मामलों को देखा है।
  2. क्वारंटाइन में आइटम रखने से यह बेहतर जांच की जा सकती है। तथ्य यह है कि यह मैलवेयर हस्ताक्षर से मेल खाता है इसका मतलब यह नहीं है कि यह समान है लेकिन वास्तव में अन्य विशिष्टताओं हो सकती है।

89
2017-07-03 07:32



इसके अतिरिक्त यदि मैलवेयर ने उस फ़ाइल में स्वयं को एम्बेड किया है जिसे आप वास्तव में चाहते हैं, जैसे वर्ड डॉक्यूमेंट या इसी तरह, तो उपयोगकर्ता के परिप्रेक्ष्य से पूरी तरह से हटाना सबसे खराब विकल्प हो सकता है। क्वारंटाइन कम से कम सामग्री को वापस पाने के लिए आपको जोखिम भरा, हालांकि जोखिम भरा देता है। - Mokubai♦
इसके अतिरिक्त एंटी-मैलवेयर सॉफ़्टवेयर को वर्गीकरण में एक अलग समझ हो सकती है। कुछ एंटी-वायरस सॉफ़्टवेयर SysAdmin टूल्स को मैलवेयर के रूप में पहचानने के लिए जाने जाते हैं और मैंने पाया कि उनमें से कुछ आधे मेरे यूएसबी-स्टिक को बिना पूछे कि मैं इसे कुछ कंपनियों और स्कूलों से कंप्यूटर से कनेक्ट करता हूं। नेटकैट, वायरशर्क, आदि कैंडीटेट्स ज्ञात हैं। मैंने लोगों को यूएसबी-स्टिक पर अपने मास्टर थीसिस की अपनी एकमात्र प्रतिलिपि भी संग्रहित किया है। मुझे उम्मीद है कि एंटी-मैलवेयर स्कैनर इसे झूठी सकारात्मक के रूप में नहीं पहचानता है और पूछे बिना इसे हटा देता है। - H. Idden
बहुत आम नहीं है? मुझे लगता है कि लगभग सभी डिटेक्शन मेरे एंटीवायरस झूठे सकारात्मक थे। - Oriol
@JuliePelletier झूठी सकारात्मक का अनुपात उपयोगकर्ता के कार्यों से काफी प्रभावित है। मेरे पास वायरस, मैलवेयर या ऐसा कुछ भी नहीं है क्योंकि मैं बहुत सावधान हूं। यह स्वचालित रूप से बनाता है कि अधिकांश (यदि सभी नहीं) detections झूठी सकारात्मक हैं। मैं अभी भी पाठ्यक्रम के एंटी-वायरस का उपयोग करता हूं :)। - Mixxiphoid
@ मोकुबाई यह एक दिलचस्प विचार है कि एक वायरस वैध फाइलों में वायरी हस्ताक्षर जोड़कर विनाश का कारण बन सकता है - जिससे गंदे काम करते हैं। - emory


इसी कारण से (ज्यादातर) सरकारें थोड़ी सी उत्तेजना पर सड़क पर उन्हें शूटिंग के बजाय संदिग्ध अपराधियों को गिरफ्तार करती हैं:

आप संदिग्ध को खुद को बचाने का मौका देना चाहते हैं, अगर वे वास्तव में कोई अपराध नहीं करते हैं। और, भले ही उन्होंने कोई अपराध किया हो, फिर भी आप इसके बारे में सब कुछ जानना चाहते हैं।


72
2017-07-03 12:57



उस समानता से, कम से कम कुछ एंटीवायरस होना चाहिए जो डिफ़ॉल्ट रूप से हटा दें ... - PlasmaHH
@ ΈρικΚωνσταντόπουλος: क्या एक हास्यास्पद बयान। क्या विंडोज 7 भी "अस्तित्व में नहीं है"? - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος: लोग लंबे समय तक विंडोज 7 और 8 का उपयोग करेंगे। एक साल पुराने सॉफ्टवेयर के बारे में "nonexistent" कुछ भी नहीं है। इतनी मूर्ख मत बनो! - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος विंडोज 7 ने 2020 तक सहयोग बढ़ाया है, साथी; विंडोज 8 2023 तक। मैं आपके बिंदु का पता लगाने के लिए संघर्ष कर रहा हूं। यह क्या है? - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος हाँ, 2023 में। आपका मुद्दा क्या है? - Lightness Races in Orbit


वायरस (उदाहरण के लिए) जरूरी नहीं है कि "स्टैंड-अलोन" बाइनरी (.exe)। परंपरागत रूप से, उनमें से कई अपने आप को "कई" सामान्य निष्पादन योग्य "संलग्न" करते हैं। (इसलिए शब्द की पसंद: "संक्रमित")

इसलिए मैलवेयर फ़ाइल का "हटाना" एकमात्र विकल्प नहीं है। कई एवी संक्रमित फ़ाइलों को "साफ" करने का विकल्प प्रदान करते हैं। (अन्यथा सामान्य प्रोग्राम फ़ाइलों से वायरस भाग को हटा दें। सामान्य प्रोग्राम छोड़ दें जहां यह है।)

"संक्रमण का प्रसार" तब "मैलवेयर चलाने" (दृश्यमान प्रक्रिया .exe) पर आधारित नहीं होगा - लेकिन चलने के आधार पर कोई भी "सामान्य कार्यक्रम" (शब्द, एक्सेल)। (या उन लोगों के साथ एक सामान्य दस्तावेज़ खोलें)

"सामान्य लेकिन संक्रमित" प्रोग्राम फ़ाइल को एक संगरोध स्थान पर ले जाना, रोकने के लिए पहला कदम है प्रसार संक्रमण वहां, हर दिन ऑपरेशन के दौरान लगातार इसे निष्पादित होने की संभावना कम होती है।

क्वारंटाइन आपको हटाने से पहले विकल्प देता है। अगर "सफाई" विफल हो गई। यदि आपके पास कहीं और "बेहतर उपकरण" है। या यदि आपको अभी भी उन सभी संक्रमित फ़ाइलों की आवश्यकता है। (विश्लेषण के लिए, डेटा वसूली)


1
2017-07-07 14:32





कभी-कभी एंटी वायरस आपकी महत्वपूर्ण फाइलों को दुर्भावनापूर्ण मानते हैं और उन्हें स्वचालित रूप से हटाने की बजाय यह उन्हें क्वारंटाइन करता है जहां वे आपकी फ़ाइलों को निष्पादित या एक्सेस नहीं कर सकते हैं और आपको इसके कार्यों की सूचना देते हैं।


0
2017-07-10 09:47



सुपर उपयोगकर्ता में आपका स्वागत है! यह जवाब थ्रेड के लिए कुछ नया नहीं जोड़ता है। उत्तर के रूप में कुछ पोस्ट करने से पहले कृपया अन्य उत्तरों को पढ़ें। - rahuldottech