想象一台被恶意软件感染的笔记本电脑,并且所有者没有备份他们的文件。* 他们有想要保留的图片、视频和文档,因此他们不愿立即将其从轨道上删除。
目标是在擦除机器之前备份他们希望保留的文件,但他们怎么知道其中一个文件没有被感染?例如,我在这里看到的一个常见建议是在将这些文件移动到外部硬盘驱动器后扫描这些文件,然后将它们移回刚刚擦除的机器上。在这种情况下,令人担忧的是恶意软件会逃避检测,并且恢复会重新感染他们的计算机。
用户如何安全地备份受感染机器上的文件,以便在将文件传输到干净机器时避免再次感染?
*“文件”是指文档、图像、视频、编程项目等;不是系统文件,如注册表设置和脚本。
“他们怎么知道他们的一个文件没有被感染”?你不能。好吧,如果您深入了解文件的各个部分,则可以,但这非常乏味且昂贵。
如果您知道设备被感染的日期,那么在该日期之前未更改的文件不被感染的可能性更高。这不是保证,因为更改文件的日期并不难。所以即使这样也不是万无一失的。
实际上,唯一不错的选择是扫描文件,将其复制到外部驱动器,然后再次扫描并将其复制回来。奇怪的是,它是一种通用感染,而不是有针对性的感染。通过等待几天,让 AV 供应商有时间更新他们的病毒定义,您在移动和扫描文件时更有可能消除感染。但是,这不是 100% - 除非您知道感染并且有问题的 AV 可以解决感染,否则您可以为再次感染做好准备。
唯一安全的选择是擦除所有内容并让用户购买外部硬盘驱动器。然后他们应该定期使用它来备份他们的文件。
“文件”是什么意思?
如果您的意思是系统文件、注册表设置、二进制文件和脚本,那么其他答案是正确的,基本上没有办法保证安全。由于这是一个关于从感染中恢复的问题,因此标准建议——安装干净的操作系统——仍然适用。
但是,如果文件是指文本和图像等数据文件的更常见用法,那么只要您不从备份中“执行”任何内容,您就不必担心备份再次感染。“受感染”的图像文件不会影响您的系统,除非您用于查看或编辑它的软件中存在严重错误。
归根结底,我认为大多数人会很高兴,如果他们能从受感染的计算机上保存他们的家庭照片和 Word 文档,而且这样做真的没有太大的危险。您可以随时“重建”已安装的程序、设置、浏览器配置文件等。
以您想要的任何方式进行备份。假设备份被感染。事实上,总是假设任何备份都被感染了。诀窍是避免感染随后传播回您的机器。
确保您的机器只能从它自己的硬盘启动,而不是从任何外部磁盘或记忆棒、CD 驱动器或网络启动。这是 BIOS 设置。
作为第二道防线,切勿在插入任何媒体的情况下重新启动或打开机器。但是,您总有一天会忘记这一点,因此 BIOS 设置很重要。
永远不要从备份中恢复程序文件,只恢复数据文件。程序应从其原始来源恢复。安装所有安全更新。
曾几何时,这已经足够了,因为只有程序被感染,数据文件不会。不幸的是,时代已经改变,看起来像数据文件的文件实际上也包含程序代码。
如果您打开一个文档并显示“此文档包含活动宏。允许它们运行吗?”之类的内容,您会说“否” 。问题的实际措辞因程序而异,但无论如何都说不。
即使经过这一切,总有一天你还是会再次受到打击,所以
@baldprussian 所说的大部分是正确的。(您无法知道文件是否被感染;文件可能已加密,因此扫描仪无法读取它们,该文件可能包含针对您的扫描仪的攻击。)
您确实需要一个值得信赖的引导,让您的 AV 不受干扰地运行。您可以通过复制文件并在另一台 PC 上检查它们来做到这一点,但您也可以从带有 AV 的可启动 USB 记忆棒启动计算机。在https://www.lifewire.com/free-bootable-antivirus-tools-2625785上有一个方法列表。我个人喜欢 FixMeStick,它是 USB 驱动器、其中几个 AV 系统和更新的商业包装。