È possibile dire a un antivirus quale tipo specifico di virus (worm, macro, ecc.) è in grado di eseguire la scansione? Supponendo che conosco il tipo di virus e voglio solo risparmiare tempo ed eseguirne la scansione in modo specifico invece di eseguirlo attraverso l'intero sistema.
Non è possibile con la maggior parte degli antivirus, la ragione è che sarebbe " penny-wise, but pound-foolish ".
La maggior parte delle risorse impiegate dall'antivirus vengono spese per aprire file e leggerli (decompressione, ecc.). Più spesso, interpretandoli dai vari formati eseguibili.
È possibile - non in tutti gli antivirus - ridurre i tempi non analizzando classi di oggetti (documenti Office per macro, all'interno di file ZIP, all'interno di archivi di posta elettronica, ecc.).
Normalmente un antivirus utilizza una e ottimizzata "struttura" o macchina di stato per cercare virus. In altre parole, non è qualcosa come
foreach signature in TenThousandSignatures do
if filedata contains signature then
call alarm
end
end
che potrebbe trarre vantaggio dalla sostituzione di TenThousandSignatures con FiveMostProbableSignatures.
Per poter eseguire la scansione di un singolo virus, è necessario disporre di un FSM ottimizzato per quel un virus e, quindi, di un FSM per ogni virus che si desidera scegliere. Ciò richiederebbe, in primo luogo, la fornitura di un lotto di pacchetti FSM all'antivirus; e poi quando volevi cercare tutti virus, o la maggior parte di loro, il tempo sarebbe la somma di ogni volta, poiché tutti quegli FSM non sarebbero integrati in un uno solo, e avrebbe bisogno di funzionare in modo indipendente, aggiungendo il tempo di esecuzione o il fabbisogno di risorse.
Detto questo, spesso gli antivirus hanno diversi pacchetti FSM e puoi selezionare quello che desideri utilizzare: di solito virus, malware, adware e PUA (Applicazioni potenzialmente indesiderate) / PHA (Applicazioni potenzialmente dannose), tali come patch droppers, crack, strumenti di hacking, cercatori di password ecc. Inoltre, per comodità, è possibile ottenere un FSM "database completo" ogni primo del mese, quindi gli aggiornamenti delle firme verranno forniti quotidianamente come pacchetto di aggiornamento aggiuntivo, ma molto più piccolo.
Inoltre, alcuni antivirus utilizzano diverse strategie per cercare diverse famiglie di virus o tecnologie (virus polimorfico, scansioni euristiche, ecc.) e potresti essere in grado di disabilitare le strategie a cui non sei interessato. Ciascuno è indipendente dal altri, i tempi ci si sommano linearmente, quindi disattivare moduli indesiderati ha senso.
In questi casi, il tempo di scansione è solitamente proporzionale al numero di pacchetti FSM o moduli di scansione attivati (e, meno chiaramente, proporzionale alla dimensione / architettura di ciascuno).
Infine, esistono alcuni antivirus mirati che eseguono la scansione solo per il target designato, un singolo virus o una singola famiglia di virus. Penso che ESET abbia utilizzato alcuni disinfettanti di virus "quick response" su misura per virus specifici "popolari". Non so se lo fanno ancora.
Per rispondere alla domanda: io non la penso così, ma è possibile che alcuni prodotti AV includano questo, non li ho usati tutti. Ma in ogni cosa che uso o che abbia mai usato, no. Tutto il controllo viene effettuato tramite euristica e firme conosciute.
Per correggere il caso: non vuoi farlo. Se davvero è avvenuta un'infezione ci possono essere molti attori diversi in gioco. Dite che sapete che un certo tipo di malware è presente e che volete scansionare gli altri. Ma c'era un malware sottostante che viene utilizzato per rigenerare continuamente il malware che stai cercando nel caso in cui venga distrutto. Non lo troveresti mai.
Questa è la ragione principale per cui non penso che le compagnie AV nel flusso principale rendano queste opzioni prontamente disponibili per gli utenti finali. Tutti gli utenti finali vogliono risparmiare tempo. a volte dobbiamo però inghiottire il costo, per il bene di tutti noi.
EDIT: ma per aggiungere ad esso, non è necessario sedersi lì e guardarlo, la maggior parte dei grandi AV là fuori ha una modalità di scansione in background, progettata per essere poco spese generali. È possibile eseguire una scansione completa per tutto e continuare il viaggio.