Quello che mi piace del concetto di CD di avvio, è che può connettersi a Internet e ricevere aggiornamenti, tuttavia non sono chiaro quanto siano efficaci nel trovare cose che siano euristiche? In che modo le scansioni euristiche funzionano anche se un eseguibile non è in esecuzione?
L'esecuzione da un CD avviabile non rende l'antivirus più efficace nel rilevamento dei virus, ma evita che tale virus non possa visualizzare nulla. L'antivirus su un CD avviabile è lo stesso dell'antivirus sulla macchina live; il CD di avvio rende solo più sicuro l'antivirus stesso.
Il rilevamento euristico è completamente ortogonale. Un antivirus funziona classicamente trovando frammenti di codice virus noto in file eseguibili (le "firme"). Alcuni virus fanno un passo avanti nel nascondino e cercano giochi che giocano con software antivirus e modificano il loro codice in più modi con un po 'di casualità. I produttori di software antivirus reagiscono creando meta-codice che tenta di identificare frammenti di codice che, pur non essendo identici bit-to-bit alle firme dei virus noti, potrebbero essere una sorta di codice virus modificato automaticamente, perché in questo punto in questo file sembra decisamente pescoso. "Rilevamento euristico" è spesso un nome commerciale per "uno sparo al buio".
La differenza principale di un disco di avvio è la possibilità di eseguire la scansione delle applicazioni attraverso un sistema di flies "noto", anziché un file system potenzialmente rootkit, che potrebbe nascondere qualsiasi / tutto il malware da uno scanner.
Il problema di base è che se il malware ha compromesso il tuo sistema, potrebbe essere configurato per restituire tutto ciò che l'autore desidera quando viene eseguita una scansione di un file, per far sembrare che il sistema sia pulito.
Effettuando il boot da un CD o altro materiale di sola lettura, fino a quando si ha un disco di avvio pulito, non sarà in grado di essere compromesso dal malware e dovrebbe fornire risultati corretti. Il presupposto qui è che hai un download pulito.
A parte questo, l'utilizzo è identico a una versione in esecuzione sul sistema operativo normale - scansione per modelli noti o codice che soddisfa determinati indicatori sospetti.
Leggi altre domande sui tag antivirus