¿Cuál es la cuarentena del software antivirus? ¿Se trata simplemente de algunos derechos de usuario / grupo estrictos y de cambiar la extensión del archivo o es un traslado real de los archivos a un entorno virtual?
¿Cómo impide este software que un virus se ejecute o se salga de esa zona de pruebas / cuarentena?
Muchos AV funcionan de la misma manera pero pueden tener diferentes mecanismos de acción específicos . En general funcionan así:
Cuando MBAM elimina un elemento como un archivo o una entrada del Registro y pone en cuarentena el elemento, se elimina de su ubicación original y Almacenado en un contenedor protegido. Tanto el elemento eliminado como su ubicación se almacenan en el contenedor de manera que el archivo se vuelve inerte y la ubicación de donde se eliminó también se restaura. Así si se considera que es una declaración de falso positivo, el elemento eliminado (archivo o entrada de registro) puede ser restaurado a su original y funcionando estado. Sin embargo, si los artículos se consideran que han sido retirados justamente para actividad maliciosa, la cuarentena se puede "volcar" de manera que no se puede Se restaurará y el contenedor ya no se mantendrá en cuarentena. artículos o puede elegir ser selectivo sobre lo que se descarga cuarentena.
También hay otra publicación en InfoSec SE que tiene alguna información adicional:
En la mayoría de los programas antivirus, los archivos de cuarentena se almacenan en Formatos binarios internos. Dado que no hay conexión física entre el archivo infector a su sistema (su programa antivirus funciona como el el formato de almacenamiento también es un punto a favor, no es peligroso.
Lea otras preguntas en las etiquetas malware virus antivirus antimalware sandbox