即使被隔离,恶意软件也会很危险吗?

信息安全 恶意软件 攻击预防 杀毒软件 用户教育 隔离
2021-08-18 18:32:58

我正在阅读一本关于网络安全的书,在谈到用户困惑时,它写道:

“用户被问及诸如 隔离此附件是否安全之类的安全问题并不少见?在很少或没有方向的情况下,用户倾向于在不了解安全风险的情况下提供问题的答案。”

有人可以告诉我,一个困惑的用户,隔离附件的危险是什么?我的理解是隔离中的文件不能以任何方式与操作系统交互,因此它不是安全风险,但我们也无法分析它是否是病毒。

4个回答

隔离区只不过是存储受感染/可疑文件的地方。当您隔离文件时,它会从实际位置删除并移动到隔离位置(到您的防病毒程序为其设置的路径)。

这就像把僵尸关在监狱里一样。显然,只要你不打开笼子,它就不是威胁。

在大多数防病毒程序中,隔离文件以内部二进制格式存储。由于感染器文件与您的系统之间没有物理连接(您的防病毒程序工作,因为存储格式也是一个加分点),所以它并不危险。

分析:

关于分析受感染的文件,是的,隔离后是不可能的。如果你想这样做,你可以尝试对其进行消毒或将其恢复到原来的位置(你必须禁用你的防病毒程序才能做到这一点,这是你打开笼子的地方)然后分析它。但请记住,僵尸可能会吃掉你(除非你擅长霰弹枪)!因此,风险自负。

为什么不直接将受感染/可疑文件发送给防病毒程序团队?在使用更新的病毒签名检查后,他们可能会为您提供更好的图片。

底线:被隔离的文件并不危险。但你自己分析它们可能是。

我认为作者真正的重点不是隔离文件后的安全性,而是如果用户说“不”会发生什么?系统是否将其留在原处 - 一个潜在的大风险,或者它是否消除它 - 一个潜在的大风险。在不知道不隔离会采取什么行动的情况下,或者在不解释隔离的含义的情况下,用户面临着一个他们必须回答才能取得进展的问题。但是,他们没有做出明智决定所需的信息。会发生什么......他们掷骰子并猜测。

所以,用户被问到一个非常棘手的问题:你想要这个文件还是想要安全?这甚至不是一个明智的决定问题,在这里......用户没有计算机科学学位,目前没有工具来保持安全。

用户没有时间和精力浪费在明智的决策上。这一点已经被争论一遍 一遍 如果文件不安全,则应自动将其隔离,并提供“恢复恶意软件”选项,而不是用户不得不浪费时间考虑它或抽出时间并做出准随机决定。

有一个非常相似的例子:Google Chrome 安全团队如何重新定义 Chrome 恶意软件恢复警告的用户体验。它们通过增加交互成本和增加做危险事情的感觉,让用户更难做不安全的事情。

将文件发送到隔离区有哪些危险?

恶意软件扫描程序错误地将有效系统文件标记为受感染的可能性很小。将该文件发送到隔离区可能会导致您的系统在文件恢复之前无法使用。对于特定版本的定义,一些主要的防病毒软件供应商有时会发生这种情况。虽然快速调整,但默认操作使系统无法启动。