Карантин - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
Deja_Vu

Карантин

Автор Deja_Vu, в Общий форум по информационной безопасности

Recommended Posts

Deja_Vu    366

Deja_Vu
Опубликовано

До сих пор не понимаю смысл помещения зараженного файла в карантин.

Зачем?

Или это нужно лишь для того, что бы подождать, пока найдется решнеие, как лечить?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано (изменено)

Именно. Файлы, лежащие в карантине проверяются, обычно, после каждого обновления антивируса автоматически. Резервные копии же - нет. Кроме того, на карантин помещаются подозрительные, с точки зрения Продукта (и пользователя) файлы. Которые могут быть и нужными пользователю (как то: Mail.ru Agent, AI Roboform...)

Отредактировал Umnik

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Alex_Goodwin    81

Alex_Goodwin
Опубликовано

+ фолсы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Deja_Vu    366

Deja_Vu
Опубликовано

Хм ... если взглянуть на ситуацию со строны обычного пользователя то получается следующее:

-Антивирус обнаружил вирус.

-Он его вылечить не может, предложил поместить в карантин.

И тут у 90% обычных пользователей возникает ступор. "Зачем мне ложит вирусный файл в карантин ... зачем мне вирусы, легче переустановить программу.

Я не совсем знаю технологию помещения в карантин, но для меня актуальны такие вопросы:

- Если файл в карантине, то он физически перемещается в какую то область?

- Если антивирус будет затем отключен - зараженный файл будет опять представлять угрозу? (особенно если он не перемещен, т.к. может запускаеться из авто-загрузки)

- Или же Карантин позволяет запускать программу отслеживая действия вируса? (как понимаю это не так, просто проверить нет возможности)

Мне кажется, что зря перемещение в карантин (это по мнению некоторых антивирусов по умолчанию) следующая мера после лечения(для обычных пользователей). Т.к. карантином будут пользоваться лишь заинтеесованные в этом люди, а не те, кому всеравно до жизни антивируса, лишь бы работе ничего не мешало.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dot_sent    140

dot_sent
Опубликовано
Я не совсем знаю технологию помещения в карантин, но для меня актуальны такие вопросы:

- Если файл в карантине, то он физически перемещается в какую то область?

- Если антивирус будет затем отключен - зараженный файл будет опять представлять угрозу? (особенно если он не перемещен, т.к. может запускаеться из авто-загрузки)

- Или же Карантин позволяет запускать программу отслеживая действия вируса? (как понимаю это не так, просто проверить нет возможности)

1. Как правило, да. Перемещается. Антивирус может производить с ним и какие-то дополнительные действия -почти всегда изменяет расширение файла для невозможности запуска, скажем .exe ->#xe, может его шифровать и даже запихивать в зашифрованный контейнер - все зависит от разработчиков антивируса

2. Как правило, не будет

3. Либо до файлов в карантине пользователь вообще может добраться только через интерфейс антивируса (если они зашифрованы), либо к этим файлам применяются все обычные процедуры обработки при попытке их запуска. Я о других вариантах не знаю, если кто осведомлен больше - поправьте :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

broker    30

broker
Опубликовано

Идеологически всё просто: если невозможно вылечить, надо изолировать. Право удаление из карантина предоставляется пользователю антивируса.

К примеру файл заражённый трояном :) вылечить невозможно, но можно изолировать..

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано
+ фолсы.

Ну, если сфолсит файловый монитор, в ряд ли будет предложено отправить файл в карантин. Скорее просто удалить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Kokunov Aleksey    20

Kokunov Aleksey
Опубликовано

При удалении файлы помещаются в "РЕзервное хранилище" - Суть таже карзина или карантин, только они не проверяются.

Их можно восстановить и проверить еще раз

По крайней мере у касперского так

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Карантин - это по сути изолятор временного содержания. Если обнаружен вредонос и удалить его нельзя, то иногда возможно его переместить в карантин. В случае с подозрительными объектами карантин используется еще и как своего рода защита от фолсов, так как файл не удаляется и его можно восстановить в случае чего. Например, у некоторых антивирусов для подозрительных файлов (вердикты проактивки) по умолчанию производится именно помещение объекта в карантин (удаление выбрать даже нельзя).

Как правильно написали выше, при обновлении сигнатур файлы карантина автоматически пересканируются, что тоже удобно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DWState    30

DWState
Опубликовано

Если фолс то все зависит от фолса,..если фолсит на конкретную заразу то Резервное хранилище, если подозрение то Карантин....

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
    • santy
      Новые функции в Universal Virus Sniffer (uVS)

      От santy · Опубликовано

      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
×