Recientemente instalé una aplicación llamada 'Deep Freeze' que funciona "congelando" el estado de un sistema operativo y trabajando con los discos delta. El reinicio elimina los deltas y vuelve al estado original de congelación.
¿Qué tan efectivo es esto contra virus, u otro malware, infecciones?
Hay montones de lugares de disco duro que no son locales en los que el malware podría permanecer (aunque en la práctica es raro en los virus). Unos pocos, fuera de mi cabeza, el BIOS del sistema (aunque es raro, hay un malware que lo hace) o el firmware de las tarjetas PCI de arranque.
Sin embargo, si un virus puede llegar a su sistema, evitar que persista no ayudará, simplemente puede volver a infectarlo después de reiniciar. Algunos programas maliciosos "sigilosos" permanecerán totalmente en la memoria, y no se escribirán en el disco para evitar la detección.
Tal vez necesite examinar lo que está tratando de prevenir, en lugar de 'A virus', tal vez la respuesta sea 'daño a mis documentos' o 'exfiltración de mis documentos' ... o simplemente 'robo' de mi credenciales bancarias '. Esto podría ayudarlo a concentrarse en las amenazas que debería prevenir.
No, el "virus" aún puede ejecutar y leer sus archivos (confidenciales), como si no estuviera usando Deep Freeze. Solo después de reiniciar su computadora, desaparecerá el malware (virus) y se le mostrará el estado de limpieza (sin importar el estado en que se haya congelado).
Además de la respuesta que dio Matrix, existe la posibilidad de que un firmware modificador de virus le permita sobrevivir más allá de los reinicios completos del contenido de la unidad.
En el sentido de que estás volviendo a un buen estado conocido antes de hacer algo sensible, sí, esta es una buena vía para tomarla.
Sin embargo, parece que Deep Freeze almacena las imágenes en el disco, que pueden modificarse, por lo que una infección en su sistema host podría infectar las imágenes capturadas en el pasado, por lo que perderá su propiedad en buenas condiciones.
Es mucho mejor crear un medio en vivo, de arranque pero no grabable, como un CD de knoppix . Siempre que la descarga y el proceso de grabación de la imagen del CD se realicen y verifiquen de forma segura, puede confiar en el CD para siempre para proporcionar un entorno de software local seguro.
Como han mencionado otros, el malware puede residir en hardware / firmware. Cualquier cosa desde su teclado a su laptop battery puede ser subvertida en su contra. En este caso, su entorno de software seguro podría estar infectado en tiempo de ejecución por el hardware en el que lo ejecuta.
Una vez que esto está sucediendo, estás bastante hundido. Sin embargo, es probable que pueda al menos reducir en gran medida el riesgo de reinfección basada en firmware al ejecutar un sistema operativo completamente diferente como su sistema operativo host. Por ejemplo, si usa Windows 7 para sus actividades diarias, e inicie Knoppix solamente cuando desee realizar alguna banca en línea. En mi opinión, es bastante improbable que el malware de firmware persistente pueda infectarse en dos sistemas operativos diferentes, lo que significa que su entorno de software local es bastante seguro una vez más.
Esto supone que el malware de firmware no es autónomo, ya que requiere la ayuda del sistema operativo para hacer cosas desagradables, lo que todos ellos (que yo sepa) hacen. Uno podría imaginar una tarjeta de red infectada que envía informes de tráfico a los malos independientemente del sistema operativo que se ejecuta localmente, pero estamos empezando a llegar a los límites de lo que es posible.
También es posible que un virus deshabilite Deep Freeze. (Si se puede desactivar, no hay ninguna razón para que un virus no pueda hacerlo)
Por supuesto, esto tendría que ser un virus dirigido, pero si unos pocos niños de 15 años pueden descubrir cómo deshabilitar Deep Freeze, no hay razón para que un desarrollador normal no pueda hacerlo programáticamente.
Puede combatir los virus configurando una cuenta de acceso de nivel de usuario inferior, en lugar de usar una cuenta de administrador.