#1445 Зависание во время лечения
-
Rejected
Шаги воспроизведения:
Продукт нашёл заражённый объект с помощью UDS, я выбрал "попытаться вылечить без перезагрузки", после этого я вижу, что заражённый бинарник вроде удалился, но в трее горит восклиц. знак, продукт продолжает что-то делать, захожу в главное окно - горит красным, вижу найденный объект, кликаю "Устранить", крутится колёсико и ничего не происходит. Ждал минут 5. Ощущение, что процесс лечения завис. Плюс не было баллуна, что всё вылечено и объект удалён.
Актуальный результат:
Процесс лечения завис.
Ожидаемый результат:
Процесс лечения будет быстрым
System Settings
Operating system: Win 10, x64
System: Intel Core i5-2500K, 8GB RAM, HD 3000
Product: KTS
Product Version: 21.0.15.544
Language: ru-RU
Product Logs: https://cloud.qainfo.ru/s/Bu2I3eLcX4PeGDr
-
-
На новой сборке зависание не случается. Продукт корректно отрабатывает лечение без перезагрузки с детектом по UDS. Думаю, что пока можно прикрыть. Буду проверять на каждой следующей сборке.
-
@alexander-matrosov На свежей сборке на воспроизвелось (пока что). Попробую ещё несколько раз и отпишусь о результате. ;-)
-
- https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump
- да, всё правильно поняли (+ собрать логи)
-
- Что такое "кернель-дамп" в понятии разработчиков? Если дамп avp.exe то выше писал, что его снять невозможно - "нет доступа" даже дебаггером, запущенным с правами СИСТЕМА. Можете сами попробовать и убедиться, я просил других тестеров проверить - у них аналогично моему поведение, дамп не снимается.
- HIPS - это контроль программ попробовать отключить и воспроизвести?
-
передаю слова разработчиков:
Для дальнейшего анализа нужен кернел дамп в момент, когда стало ясно, что обработка угрозы зависла.
Также, помимо этого, надо проверить будет ли воспроизводиться бага с отключенным hips'ом. (в независимости от результата прошу предоставить логи продукта для этого случая) -
https://cloud.qainfo.ru/s/EyqwR3q9wGXlIPd
Вот новые логи, если такой дамп устроит. Если нет, то я не представляю, как ещё снять avp.exe, всё перепробовал. :(
-
-
@alexander-matrosov Kavlog с 21 версией отказывается работать, есть только 20 версия кавлога, она ругается. Дебаггинг тулз отказывается подключаться к процессу - нет доступа.
-
@r3L4x, разработчики все же запросили дамп avp.exe ("Приложенный дамп является дампом GUI-процесса продукта (avpui.exe, запущен от DESKTOP-PC\r3L4x).Для анализа необходим дамп процесса avp.exe (запущен от системы) после зависания"). Если через таск менеджер проблемы с доступом, попробуй утилиту "kavlog" или "Debugging Tools for Windows" (подробнее - https://eap.kaspersky.com/topic/62/beta-testing-guide/4 )
-
@r3l4x была в какой-то версии похожая бага, ее поправили, но как видно не надолго.
-
@angeldragon На 20 точно актуально, но я тогда не смог поймать с трейсами во время теста.
-
-
Новые логи: https://cloud.qainfo.ru/s/4mhQRcAuqkxHeJS
-
@alexander-matrosov Всё сделал, только дамп получилось снять от процесса avpui, от главного avp не разрешает, типо "отказано в доступе". Самозащита при этом отключена. Это нормально?
Новые логи сейчас залью.
-
@r3L4x, разработчики просят еще раз перевоспроизвести проблему и предоставить следующие артефакты:
- логи утилиты Process Monitor (Procmon.exe из SysinternalsSuite) за все время перевоспроизведения проблемы
- дамп продукта в момент, когда стало ясно, что обработка угрозы зависла
- ну и новые логи продукта, соответствующие повторному воспроизведению
