为什么防病毒软件不删除病毒，恶意软件等，而是隔离它们？

为什么防病毒软件不能完全删除病毒，恶意软件等，而是隔离它们？完全摆脱它们不是更好吗？为什么？以及如何手动删除它们？

如果不执行，病毒和恶意软件就没有危险。
隔离区中的文件不能由用户执行，并且恶意代码（病毒或恶意软件）无法执行。如果病毒/恶意软件可移动，则将立即将其删除。
否则，文件将被移至隔离区。

造成这种情况的原因不同：

• 误报（也由其他答案强调，请参见下文的“ 更多说明”）。
• 将来有可能恢复该文件（病毒将其代码添加到原始文件中，并将原始代码的一部分移动/加密/隐藏在某处。目前无法恢复该文件，但可能会在不久的将来实现）。
  的确，如果文件是唯一的（例如，由计算机所有者创建的文件）并且某种程度上是宝贵的，则用户可能会找到一种方法来恢复仍然可以从其恢复的所有部分。论文（或图像）的一部分总是总比没有好。

• 可以由防病毒公司研究该病毒，也可以将其他计算机与感染进行个性化设置（假设您有一个文件遭到病毒攻击。其签名md5sum发生了变化。您在多台计算机上拥有相同的文件。如果签名相同，可以猜测它们是否受到攻击。如果您检查备份，则可以发现病毒是第一次起作用。
  _{注意：从历史上看，“隔离区”是在进入城市之前将船舶和人员隔离40天的时间，以防止黑死病的扩散，以查看病毒是否发展。在我们的计算机上，隔离只是保持可疑文件不活动的安全场所，而无需观察病毒的任何行为。}

• 在隔离区中，最终甚至可以更改一个可执行文件。
  假设您有一个重新编译的程序或一个不通过常规Windows方式更新的开源程序：防病毒软件可以注意到exe-cutable文件上的活动（写入），并将其放入隔离区。
  此外，由于存在一些具有活动内容的文件（例如，Word或eXcel宏...），因此某些防病毒软件可以发现可执行部分中的差异，并解释由病毒作用产生的差异。

• 如果您拥有以不同方式受到病毒攻击的相同版本的文件，则（理论上）可以通过交叉和分析这些版本的数据来恢复该文件。

进一步的解释
像病毒和防病毒软件一样思考，以了解为什么存在隔离区，为何可能存在误报以及为何这场斗争每天都在继续。

病毒（或恶意软件）是一种已编译的代码，其执行的目的是为了进行编程。
作为已编译的代码，它是二进制文件（通常），而不是文本文件（如您所阅读的内容）。它必须传播自己并执行一些作业（任务，从技术上来说是有效载荷），而不必同时执行（这增加了在检测到感染之前传播感染的可能性）。

病毒如何传播并被执行？

• 只要它可以覆盖原来的代码（的一部分exe，dll，com...文件），并把它的代码，而不是。

  
  ^{以这种模式起作用的古代 DOS病毒的例子。}
  缺点是原始程序可能会停止运行，并且可能会更快地检测到病毒（例如：“ ...您好，我的程序无法正常工作……正在发生奇怪的事情……您能帮忙吗？-是的，先生，您有病毒”）。

• 它可以在文件末尾而不是第一部分之后复制要感染文件的初始部分。因此，当您执行该程序时，首先执行该病毒，然后才执行该程序。一个更聪明的变体是将自身复制到文件末尾，然后跳到文件末尾（缺点是反病毒可以搜索病毒代码（一旦知道）并轻松找到它。这是在80年代至90年代的级联病毒中发生的...

  

• 它可以由部分组成，并且他（请注意不是）可以改变形状，将自己隐藏在程序的不同部分中，进行移动，加密和加密。每次他可能以不同的方式感染新文件。因此，防病毒软件只能在指纹中找到残留物-每天他都很难被发现。

现在，您还记得该病毒是（通常）二进制代码吗？好吧，指纹也是。
由于它们不是完整的病毒而是只有几个字节，因此压缩文件，数据文件或图像的一部分可能具有许多已知病毒指纹之一的相同字节，因此可能会出现误报。

结论性说明：并非计划对所有病毒进行破坏，但事实上大多数病毒都可以破坏。
随着实际使用带有银行帐户和账单的计算机的使用，它看起来不再像上面的图像那样有趣。

反恶意软件应用程序提供了隔离选项，由于以下两个原因，默认情况下该选项通常处于启用状态：

1. 如果误报，请备份确定为有威胁的项目。尽管不是很常见，但我已经看到许多不同的合法应用程序文件和驱动程序出现误报的情况。
2. 将项目隔离，可以对其进行更好的调查。它与恶意软件签名相匹配的事实并不意味着它只是相似的，而是实际上可能具有其他特殊性。

出于同样的原因，（大多数）政府逮捕嫌疑犯，而不是丝毫挑衅将他们枪杀在街上：

您想给犯罪嫌疑人一个为自己辩护的机会，以防他们实际上根本没有犯罪。而且，即使他们确实犯了罪，您也可能想了解所有相关信息。

病毒（例如）不一定是“独立”二进制文件（.exe）。传统上，它们中的许多将自己“附加”到（许多）正常的可执行文件上。（因此选择单词“ infect”）

因此，“删除”恶意软件文件不是唯一的选择。许多AV提供了“清除”受感染文件的选项。（从其他正常程序文件中删除病毒部分。保留正常程序在其中。）

这样，“传播感染”将不会基于“运行恶意软件”（可见进程.exe），而是基于运行任何 “正常程序”（Word，Excel）。（或使用这些文件打开普通文件）

将“正常但已感染”的程序文件移动到隔离位置是停止传播感染的第一步。在那里，它不太可能在每天的操作中连续执行。

在删除之前，隔离区为您提供了选择。万一“清洗”失败了。如果其他地方有“更好的工具”。或者，如果您仍然需要所有这些受感染的文件。（用于分析，数据恢复）

有时反病毒可能会将您的重要文件视为恶意文件，而不是自动删除它们，而是将其隔离在无法执行或访问您文件的位置，并通知您其操作。