火绒安全团队曾处理过这样一个的案例:一企业内发现了感染型病毒后,却由于担心杀毒会损坏文件,任由病毒活跃了数年之久,直至求助火绒工程师查看并全网部署火绒软件,才得以彻底查杀病毒恢复文件。
“其实,在我们帮助用户的过程中,甚至还有反馈文件被误删的求助,所以对于一些用户查杀病毒时投鼠忌器也特别理解。”于老师表示,“但是,大家千万不要因此而忽略报毒结果,包括火绒在内,任何一款合格的安全软件都有着严谨的查杀过程,在不损坏文件的情况下,正确识别病毒并进行删除是它们的基本功。”
以火绒为例,在点击查杀病毒的一刻,实际上已经经历了从分类、识别到最终查杀的三个过程,目的就是为了确保在准确杀毒的过程中,避免损坏用户文件。
先说说病毒分类,就是以病毒的危害行为作为详细的划分和判断依据,比如有的病毒能无限复制自身搞破坏,有的会加密用户文件资料来勒索赎金,有的可以在电脑上开后门接收黑客指令,有的存在静默安装、捆绑推广行为,还有的只具备恶作剧的效果……“可以说,病毒分类是一切杀毒方式的基础工程,毕竟,抓捕坏人就必须要先清楚哪些行为是危害行为。”
有了精准的分类,就可以统一命名,方便安全软件快速识别病毒,比如上述恶意行为可以依次对应为蠕虫病毒(Worm)、勒索病毒(Ransom)、后门程序(Backdoor)、流氓程序(Rogue)、玩笑程序(Joke),感兴趣的童鞋具体可参考我们此前发布过的《教你看懂火绒的报毒名 神奇的知识又增加了嗷》详细了解下。
“在精准分类、识别的基础上,确认目标为病毒后,就可以大刀阔斧的将其查杀了。但是,童鞋们注意划重点,查杀可不是乱杀,而是用合适的方式去除病毒。”于老师强调。
根据前期的分类工作,可以发现一部分病毒能独立传播、作恶,因此识别后直接查杀即可,这样的方式叫删除病毒;还有一些病毒如同寄居蟹寄宿在用户的文件、程序上,如果暴力删除很有可能连同文件、程序一并删除,造成误删、损坏文件的结果,此时就要使用清除的方式——只将附着在正常文件上的病毒去除,不破坏文件。
图:火绒无论删除还是清除病毒,都不会损坏、删除文件
比如感染型病毒(Virus),将自身隐藏在执行程序中,会使很多看似“正常”的软件被频繁报毒,包括浏览器、播放器、Office文件等等,容易让用户误以为是误报,从而不敢查杀(具体也可参考火绒发布的《“正常文件”被频繁报毒?当心是感染型病毒在作祟》);还有宏病毒(OMacro),专门依附在Office文件上,特别让企业员工头疼不已。对于这类病毒,清除才是更为适合的查杀方式。
这下大家明白了吧,相较于删除,清除更像是删除动作的升级,多了一层救助、修复的意思,就像医生切除肿瘤,清除也是为了在杀毒的同时,保护、恢复用户重要的文件程序。
一直以来,火绒都在坚持灵活准确使用删除与清除这两种杀毒方式,一方面是我们始终站在用户的角度服务,用严谨的态度对待每一次报毒、杀毒;另一方面是得益于火绒反病毒引擎对病毒准确的识别能力和查杀能力,让我们不会以恶意威胁等词汇含糊描述,更不会一刀切式的删除所有查杀对象,做到报毒有依、查杀得当,对于一些顽固的病毒具有强悍查杀能力,识别即可清除。
“其实说了这么多,总结起来就是一句话,火绒的用户不需要知道病毒类型和杀毒方式,也不用怕损坏文件,尽管放心大胆扫描查杀,一切交给我们处理即可。”于老师表示。
有奖小调查:你们遇到安全软件报毒会选择相信并查杀吗?可以写在评论区,12月16日抽出一个小伙伴送出火绒定制帆布包一个。
本文始发于微信公众号(火绒安全实验室):白担心了 原来火绒这样清除病毒并不会删除文件
评论