如果防毒軟體(例如:ESET)偵測到檔案(例如:.RAR)內有病毒,它會自動刪除受感染的檔案嗎?或者我需要刪除整個存檔嗎? (假設存檔沒有密碼保護)
答案1
我認為值得先用幾句話來評論一下大多數安全產品如何處理檔案:
由於即時解包的開銷,大多數端點即時/按存取掃描器(預設)不會完全掃描存檔,而且「容器」並不會真正構成任何「直接」威脅,因此不會為了更快地偵測到某些東西而付出的性能損失是值得的。
也就是說,大多數產品都提供了即時掃描檔案的選項,但通常不建議這樣做。
大多數解決方案都包含多個層來保護電腦並防止此類文件首先進入電腦。例如,大多數解決方案都有一個鉤子,可以在瀏覽器下載檔案並寫入磁碟之前掃描文件,可能是在位於瀏覽器進程前面的某個 Web 代理程式中。由於此掃描對時間不敏感,因此可能會花費更多時間,並且大多數都會進行「壓縮炸彈」偵測,以防止資源耗盡(如果這是「攻擊」)。
例如,沒有人真正關心檔案下載中的額外 3 秒,但如果一個進程被阻止從磁碟讀取檔案 3 秒,這將不會被忽視,並且您可能會感覺到掛起,因為檔案請求被暫時阻止在核心中等待病毒掃描。下載電子郵件附件也是如此,同樣,速度也不再那麼重要。
這也適用於任何安全產品,例如端點上游的設備(網路/電子郵件等)。如果可以的話,他們有時間掃描檔案以便採取行動。
假設存檔文件已寫入磁碟並且前線發生故障或檢測簽名/方法是新的;作為解包過程的一部分,即時/按訪問掃描器將在解包時掃描每個文件。然後它會被即時掃描器拾取。
存檔檔案類型通常(預設)在端點上作為計劃掃描或按需掃描的一部分進行掃描,這通常是在您收到訊息時進行的,即計劃掃描完成後。掃描器可能只是說它受密碼保護,如果它無法解壓它,實時組件會在用戶提供密碼時在這裡拾取它。如果它們可以按需掃描內容,那麼產品通常會報告容器內受感染對象的完整路徑。
大多數產品都允許您選擇配置每個檢測到的組件的檢測結果,即即時、按需/計劃掃描。如果已為相關威脅編寫了清理例程,大多數人會先嘗試清理該威脅,然後如果無法採取任何措施,則僅阻止/隔離。
與以前一樣,使用即時掃描存檔內選項;您通常可以配置為在檢測到時自動刪除文件,但由於誤報的風險,大多數供應商預設不會刪除。
因此,最終用戶的選項是以下一項或多項:
- 如果不需要,請刪除整個存檔檔案。例如,您的下載目錄中可能有一個您不需要的檔案。
- 如果您認為這是誤報(可能基於年齡、檢測名稱、檢測到的文件、磁碟上的位置、所需的直覺和經驗),您通常可以向供應商發送樣本。注意:根據供應商簽署/偵測方法,您可能需要發送整個存檔而不僅僅是其中的文件。
- 將存檔和偵測到的物件上傳到virustotal.com 作為第二意見。
- 如果您需要存檔中的其他文件,您可能需要授權/排除該文件和/或目標位置,以便在小心刪除偵測到的元素之前將其解壓縮。然後,您可以將其壓縮備份,但根據存檔的目的,如果您刪除的偵測到的元件是必需的,您可能會使其無用。
鑑於上述情況,我認為可以公平地說,大多數產品預設不會根據內部組件的檢測來重新打包存檔。然而,如果有一個惡意軟體透過將自身放入 docx 容器中進行傳播,那麼供應商在給定樣本的情況下可以輕鬆編寫一個清理例程,僅從存檔中刪除威脅。所以我認為這裡的答案不是默認的,但給出一個示例和足夠的理由這樣做可能會。