Muchos AV funcionan de la misma manera pero pueden tener diferentes mecanismos de acción específicos . En general funcionan así:
Cuando MBAM elimina un elemento como un archivo o una entrada del Registro y
pone en cuarentena el elemento, se elimina de su ubicación original y
Almacenado en un contenedor protegido. Tanto el elemento eliminado como su ubicación
se almacenan en el contenedor de manera que el archivo se vuelve inerte
y la ubicación de donde se eliminó también se restaura. Así
si se considera que es una declaración de falso positivo, el elemento eliminado
(archivo o entrada de registro) puede ser restaurado a su original y funcionando
estado. Sin embargo, si los artículos se consideran que han sido retirados justamente para
actividad maliciosa, la cuarentena se puede "volcar" de manera que no se puede
Se restaurará y el contenedor ya no se mantendrá en cuarentena.
artículos o puede elegir ser selectivo sobre lo que se descarga
cuarentena.
SOURCE
También hay otra publicación en InfoSec SE que tiene alguna información adicional:
En la mayoría de los programas antivirus, los archivos de cuarentena se almacenan en
Formatos binarios internos. Dado que no hay conexión física entre
el archivo infector a su sistema (su programa antivirus funciona como el
el formato de almacenamiento también es un punto a favor, no es peligroso.