Situazione: cercando di capire come funziona un antivirus. Pertanto, quando un antivirus trova un file con un valore hash corrispondente al proprio database, lo segnala come file infetto e lo mette in quarantena.
Problema: cosa succede se il file è un file di sistema? O se i file sono EXE / DLL richiesti dal sistema per funzionare normalmente?
Domanda: in che modo una suite di antivirus decide se un file può essere messo in quarantena in sicurezza?
What if the file is a system file?
Prima di rilasciare le firme al pubblico, i produttori di antivirus li sottoponevano a test su macchine diverse con diversi SO e programmi installati. Se le firme contengono un hash che rileva un file di sistema ed è un falso positivo, correggeranno le firme e le ripeteranno nuovamente, quindi verranno rese pubbliche.
Or if the files are EXE/DLLs required by system to work normally?
Il motivo per cui un file rilevato viene messo in quarantena è che, se si tratta di un falso positivo, può essere ripristinato nel punto in cui si trovava. Quasi tutti i fornitori di antivirus forniscono agli utenti una funzionalità per segnalare potenziali falsi positivi. Se viene rilevato un errore legittimo, lo correggeranno nel prossimo aggiornamento e tale file non verrà riportato nella successiva iterazione degli aggiornamenti.
How does an antivirus suite decide whether a file is safe to be quarantined?
Se la suite rileva che è malevola con qualsiasi mezzo (hash della firma, euristica, ecc.), mette in quarantena il file. Ora la decisione è lasciata all'utente se lui / lei vuole ripristinarlo o meno.
Leggi altre domande sui tag malware virus antivirus antimalware virus-removal