#1445 Зависание во время лечения


  • Rejected

    , last edited by Jarvis

    Шаги воспроизведения:

    Продукт нашёл заражённый объект с помощью UDS, я выбрал "попытаться вылечить без перезагрузки", после этого я вижу, что заражённый бинарник вроде удалился, но в трее горит восклиц. знак, продукт продолжает что-то делать, захожу в главное окно - горит красным, вижу найденный объект, кликаю "Устранить", крутится колёсико и ничего не происходит. Ждал минут 5. Ощущение, что процесс лечения завис. Плюс не было баллуна, что всё вылечено и объект удалён.

    Актуальный результат:

    Процесс лечения завис.

    Ожидаемый результат:

    Процесс лечения будет быстрым

    System Settings

    Operating system: Win 10, x64

    System: Intel Core i5-2500K, 8GB RAM, HD 3000

    Product: KTS

    Product Version: 21.0.15.544

    Language: ru-RU

    Product Logs: https://cloud.qainfo.ru/s/Bu2I3eLcX4PeGDr

  • @r3L4x, разработчики просят еще раз перевоспроизвести проблему и предоставить следующие артефакты:

    • логи утилиты Process Monitor (Procmon.exe из SysinternalsSuite) за все время перевоспроизведения проблемы
    • дамп продукта в момент, когда стало ясно, что обработка угрозы зависла
    • ну и новые логи продукта, соответствующие повторному воспроизведению
  • , last edited by r3L4x

    @alexander-matrosov Всё сделал, только дамп получилось снять от процесса avpui, от главного avp не разрешает, типо "отказано в доступе". Самозащита при этом отключена. Это нормально?

    Новые логи сейчас залью.

  • @r3L4x, спасибо за быстрое предоставление информации. И да, это нормально
  • Похожая проблема наблюдается в 2019 и 2020 версии, почему то продукт не может очистить запись об удаленном объекте и постоянно о нем сообщает, предлагает удалить, хотя самого объекта уже нет. Обычно помогает очистка отчетов вручную и перезагрузка компьютера.

  • @angeldragon На 20 точно актуально, но я тогда не смог поймать с трейсами во время теста.

  • @r3l4x была в какой-то версии похожая бага, ее поправили, но как видно не надолго.

  • @r3L4x, разработчики все же запросили дамп avp.exe ("Приложенный дамп является дампом GUI-процесса продукта (avpui.exe, запущен от DESKTOP-PC\r3L4x).Для анализа необходим дамп процесса avp.exe (запущен от системы) после зависания"). Если через таск менеджер проблемы с доступом, попробуй утилиту "kavlog" или "Debugging Tools for Windows" (подробнее - https://eap.kaspersky.com/topic/62/beta-testing-guide/4 )

  • @alexander-matrosov Kavlog с 21 версией отказывается работать, есть только 20 версия кавлога, она ругается. Дебаггинг тулз отказывается подключаться к процессу - нет доступа.

  • В общем, avp.exe защищён так, что даже дебаггер, запущенный с правами СИСТЕМА, не может подключиться к процессу, нет доступа. Сделал так: ПКМ на иконке в трее - записать дамп.

    Заливаю новые логи.

  • https://cloud.qainfo.ru/s/EyqwR3q9wGXlIPd

    Вот новые логи, если такой дамп устроит. Если нет, то я не представляю, как ещё снять avp.exe, всё перепробовал. 😞

  • передаю слова разработчиков:

    Для дальнейшего анализа нужен кернел дамп в момент, когда стало ясно, что обработка угрозы зависла.

    Также, помимо этого, надо проверить будет ли воспроизводиться бага с отключенным hips'ом. (в независимости от результата прошу предоставить логи продукта для этого случая)
  • @alexander-matrosov

    1. Что такое "кернель-дамп" в понятии разработчиков? Если дамп avp.exe то выше писал, что его снять невозможно - "нет доступа" даже дебаггером, запущенным с правами СИСТЕМА. Можете сами попробовать и убедиться, я просил других тестеров проверить - у них аналогично моему поведение, дамп не снимается.
    2. HIPS - это контроль программ попробовать отключить и воспроизвести?
    1. https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump
    2. да, всё правильно поняли (+ собрать логи)
  • @alexander-matrosov На свежей сборке на воспроизвелось (пока что). Попробую ещё несколько раз и отпишусь о результате. 😉

  • , last edited by r3L4x

    На новой сборке зависание не случается. Продукт корректно отрабатывает лечение без перезагрузки с детектом по UDS. Думаю, что пока можно прикрыть. Буду проверять на каждой следующей сборке.

  • Спасибо за предоставленную информацию.


Looks like your connection to Beta Testing was lost, please wait while we try to reconnect.