Зависание во время лечения
-
<p><strong>Шаги воспроизведения:</strong></p>
<p><span></span>Продукт нашёл заражённый объект с помощью UDS, я выбрал "попытаться вылечить без перезагрузки", после этого я вижу, что заражённый бинарник вроде удалился, но в трее горит восклиц. знак, продукт продолжает что-то делать, захожу в главное окно - горит красным, вижу найденный объект, кликаю "Устранить", крутится колёсико и ничего не происходит. Ждал минут 5. Ощущение, что процесс лечения завис. Плюс не было баллуна, что всё вылечено и объект удалён.</p>
<p><strong>Актуальный результат:</strong></p>
<p><span></span>Процесс лечения завис.</p>
<p><strong>Ожидаемый результат:</strong></p>
<p><span></span>Процесс лечения будет быстрым</p> -
<p>@<strong><a href="/user/r3l4x" target="_blank" rel="noopener" data-username="r3L4x" data-uid="93">r3L4x</a>, </strong>разработчики просят еще раз перевоспроизвести проблему и предоставить следующие артефакты:</p>
<ul>
<li>логи утилиты Process Monitor (Procmon.exe из SysinternalsSuite) за все время перевоспроизведения проблемы</li>
<li>дамп продукта в момент, когда стало ясно, что обработка угрозы зависла</li>
<li>ну и новые логи продукта, соответствующие повторному воспроизведению</li>
</ul> -
<p>@alexander-matrosov Всё сделал, только дамп получилось снять от процесса avpui, от главного avp не разрешает, типо "отказано в доступе". Самозащита при этом отключена. Это нормально?</p>
<p>Новые логи сейчас залью.</p> -
<p>Новые логи: <a href="https://cloud.qainfo.ru/s/4mhQRcAuqkxHeJS" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/4mhQRcAuqkxHeJS</a></p>
-
<p>Похожая проблема наблюдается в 2019 и 2020 версии, почему то продукт не может очистить запись об удаленном объекте и постоянно о нем сообщает, предлагает удалить, хотя самого объекта уже нет. Обычно помогает очистка отчетов вручную и перезагрузка компьютера.</p>
-
<p>@angeldragon На 20 точно актуально, но я тогда не смог поймать с трейсами во время теста.</p>
-
<p>@<strong><a href="/user/r3l4x" target="_blank" rel="noopener" data-username="r3L4x" data-uid="93">r3L4x</a></strong>, разработчики все же запросили дамп avp.exe ("<em>Приложенный дамп является дампом GUI-процесса продукта (avpui.exe, запущен от DESKTOP-PC\r3L4x).</em><span><em>Для анализа необходим дамп процесса avp.exe (запущен от системы) после зависания</em>"). Если через таск менеджер проблемы с доступом, попробуй утилиту "kavlog" или "Debugging Tools for Windows" (подробнее - <a href="/topic/62/beta-testing-guide/4" target="_blank" rel="noopener">https://eap.kaspersky.com/topic/62/beta-testing-guide/4</a> )</span></p>
-
<p>@alexander-matrosov Kavlog с 21 версией отказывается работать, есть только 20 версия кавлога, она ругается. Дебаггинг тулз отказывается подключаться к процессу - нет доступа.</p>
-
<p>В общем, avp.exe защищён так, что даже дебаггер, запущенный с правами СИСТЕМА, не может подключиться к процессу, нет доступа. Сделал так: ПКМ на иконке в трее - записать дамп.</p>
<p>Заливаю новые логи.</p> -
<p><a href="https://cloud.qainfo.ru/s/EyqwR3q9wGXlIPd" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/EyqwR3q9wGXlIPd</a></p>
<p>Вот новые логи, если такой дамп устроит. Если нет, то я не представляю, как ещё снять avp.exe, всё перепробовал. :(</p> -
<p>передаю слова разработчиков:</p>
<blockquote>
<p>Для дальнейшего анализа нужен кернел дамп в момент, когда стало ясно, что обработка угрозы зависла.</p>
<div>Также, помимо этого, надо проверить будет ли воспроизводиться бага с отключенным hips'ом. (в независимости от результата прошу предоставить логи продукта для этого случая)</div>
</blockquote> -
<p>@alexander-matrosov</p>
<ol>
<li>Что такое "кернель-дамп" в понятии разработчиков? Если дамп avp.exe то выше писал, что его снять невозможно - "нет доступа" даже дебаггером, запущенным с правами СИСТЕМА. Можете сами попробовать и убедиться, я просил других тестеров проверить - у них аналогично моему поведение, дамп не снимается.</li>
<li>HIPS - это контроль программ попробовать отключить и воспроизвести?</li>
</ol> -
<ol>
<li><a href="https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump" target="_blank" rel="noopener">https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump</a></li>
<li>да, всё правильно поняли (+ собрать логи)</li>
</ol> -
<p>@alexander-matrosov На свежей сборке на воспроизвелось (пока что). Попробую ещё несколько раз и отпишусь о результате. ;-)</p>
-
<p>На новой сборке зависание не случается. Продукт корректно отрабатывает лечение без перезагрузки с детектом по UDS. Думаю, что пока можно прикрыть. Буду проверять на каждой следующей сборке.</p>