web-dev-qa-db-ja.com

MalwareBytesの隔離

MalwareBytes には、MBを隔離または引用する機能があります。

その時点で、それらは格納されているディスクの場所から削除され、検疫に入れられ、コンピューターに脅威を与えないように変更されました。

  1. MalwareBytesは、ファイルが「脅威になり得ない」ようにするために何をしているのですか?私が探しているのは、それがどのように行われるかの技術的な詳細です。
  2. マルウェアが実際には隔離されていないのに、隔離されていることをマルウェアがMalwareBytesに示すことは可能ですか?
4
user180262

フォレストがこれで中断した場所を取得するには-Malwarebytesは、疑わしい/感染したファイルを現在の場所から移動し、新しい場所に保存します。「保護されたコンテナー検疫。これは、ファイルを実行できなくなるような方法で保存されます。これは通常、前述のForestメソッドを使用して行われます。 [1]

MBには「ダンプ」機能があり、隔離されたアイテムにファイルをダンプすると、復元できなくなります。一度ダンプすると完全に破棄されるため、ファイルを元に戻す場合は再インストールする必要があります。必要に応じて、隔離されたすべてのファイルをシステムに戻すことができます。ファイルをダンプするだけではありません。


2番目の質問に関しては、それは不可能でしょう。隔離は、MBがファイルを移動する別のファイルの場所です。ウイルスが隔離場所に移動したように見えるあらゆる種類のケースでグーグルを試しましたが、何も見つかりませんでした。ここでの問題は、いったんファイルがそこに移動されると、それを使用できないため、ファイルを再度実行可能にするために、その場所から取り出さなければならないということです。


1 -Malwarebytesが隔離されたファイルを難読化する方法の詳細を調べましたが、リソースやコメントを見つけることができませんでした。

0
J.J

の答えを拡張するには 隔離されている場合でもマルウェアは危険ですか?

AV検疫は次のように機能します。

  1. 監査ゾーン:潜在的な悪意のあるファイルを検査のためにAV会社に送信するかどうかを決定するためにユーザーに監査を許可します。ドキュメント自体に機密データが含まれていると思われる場合は、感染したドキュメントを送信しないでください。

  2. 誤検知が発生した場合、ファイルを隔離から回復でき、誤検知を報告するか、AV内の例外リストにファイルを追加するかを選択できます。

  3. これは、非実行形式で圧縮および暗号化されており、すべての非圧縮ツールからアクセスできません。したがって、これにより、冗長な検出やマルウェアによる悪用が防止されます。それにもかかわらず、AVの実装によっては、隔離されたフォルダーは、マルウェアが(それを発見した場合)ペイロードを非表示にするための「例外安全な避難所」であってはなりません。

1
mootmoot