为什么杀毒软件不删除病毒、恶意软件等，而是隔离它们？

Question

为什么杀毒软件不彻底删除病毒、恶意软件等，而是将它们隔离？彻底摆脱它们不是更好吗？为什么？以及如何手动删除它们？

Answer 1

如果不执行，病毒和恶意软件并不危险。
用户无法执行隔离中的文件，并且恶意代码（病毒或恶意软件）不可能起作用。如果病毒/恶意软件是可移除的，则会立即将其移除。
如果不是，文件将被移动到隔离区。

这有不同的原因：

• 误报（正如其他答案所强调的，请参阅下面的进一步解释）。
• 未来恢复文件的可能性（病毒将其代码添加到原始文件中，并将原始代码的一部分移动/加密/隐藏在某处。目前无法恢复文件，但可能在不久的将来会恢复）。
  实际上，如果文件是唯一的（例如，由计算机所有者创建的文件）并且它在某种程度上很珍贵，那么用户可能会找到一种方法来恢复仍然可以从中恢复的所有部分。论文（或图像）的一部分总是比没有好。

• 有可能通过防病毒公司研究病毒或将其他计算机与感染个体化（假设您有一个文件被病毒攻击。它的签名会md5sum发生变化。您在多台计算机上拥有相同的文件。如果签名相同，您可以猜到他们被攻击了。如果你检查你的备份，你可以找到病毒第一次行动的时间）。
  _{注意：历史上的“隔离区”是在进入城市之前对船只和人员进行 40 天的隔离，以防止黑死病扩散，以查看病毒是否发展。在我们的计算机上，隔离区只是一个安全的地方，可以让可疑文件保持非活动状态，而无需观察病毒的任何活动。}

• 在隔离区中甚至可能会出现一个已更改的可执行文件。
  想象一下，您有一个重新编译的程序或一个不是通过通常的 Windows 方式更新的开源程序：防病毒软件可以注意到exe-cutable 文件上的活动（写入）并将其隔离。
  此外，由于有些文件具有活动内容（例如 Word 或 eXcel 宏...），因此某些防病毒软件可以发现可执行部分中的差异并将其解释为由病毒活动产生的。

• 如果同一版本的文件受到不同方式的病毒攻击，则（理论上）可以通过交叉和分析这些版本的数据来恢复文件。

进一步说明
像病毒和防病毒软件一样思考以了解隔离存在的原因，为什么会出现误报以及为什么这是一场每天都在继续的战斗。

病毒（或恶意软件）是一种编译后的代码，它执行编程的目的。
作为编译代码，它是二进制的（通常）而不是文本（正如你正在阅读的）。它必须自我传播并执行一些作业（一项任务，从技术上讲是有效载荷），不一定同时进行（这增加了在检测到感染之前传播感染的可能性）。

病毒如何自我传播和执行？

• 简单地它可以覆盖原始代码的一部分（exe, dll, com... 文件）并改为放置其代码。

  
  ^{以这种模式运行的古代DOS 病毒的示例。}
  缺点是原始程序可以停止工作并且病毒可能会被更快地检测到（例如：“...你好，我的程序无法正常工作...发生了奇怪的事情......你能帮忙吗？ - 是的，先生，你有一个病毒”）。

• 它可以在其末尾复制要感染的文件的初始部分，然后可以将其放在自己而不是第一部分。所以当你执行程序时，病毒先被执行，然后程序才被执行……一个更聪明的变种是在文件的末尾复制自己，并在文件的开头放一个跳转到末尾（并回到它的开头）......缺点是防病毒软件可以搜索病毒代码（一旦知道）并轻松找到它。这发生在80-90 年代的级联病毒中……

  

• 它可以由部分组成，他（注意不是它）可以改变自己的形状并将自己隐藏在程序的不同部分中，移动它们，加密和打乱。每次他都可能以不同的方式感染一个新文件。因此，防病毒软件可能只会在指纹中找到残留物——每天他都更难识别。

现在，您还记得病毒（通常）是二进制代码吗？嗯，指纹也是。
由于它们不是完整的病毒，而只有几个字节，因此压缩文件、数据文件或图像的一部分可能具有与许多已知病毒指纹之一相同的字节——因此是误报。

结论性说明：并非所有病毒都计划破坏，但事实上，大多数病毒都会破坏。
随着实际使用带有银行帐户和账单的计算机进行支付，它似乎不再像上图那样有趣。

Answer 2

反恶意软件应用程序提供了一个隔离选项，出于以下两个原因，该选项通常在默认情况下处于启用状态：

1. 保留被识别为具有威胁性的项目的备份，以防误报。虽然不是很常见，但我在许多不同的合法应用程序文件和驱动程序上看到过误报案例。
2. 将该项目隔离可能会使其得到更好的调查。它与恶意软件签名匹配的事实并不意味着它只是相似，但实际上可能具有其他特殊性。

Answer 3

出于同样的原因，（大多数）政府会在最轻微的挑衅下逮捕犯罪嫌疑人，而不是在街上开枪：

你想让嫌疑人有机会为自己辩护，以防他们实际上根本没有犯罪。而且，即使他们确实犯了罪，您也可能想知道这一切。