Тестирование KVRT 2020


  • @angeldragon said in Тестирование KVRT 2020:

    это же может сделать и KVRT.

    Каким образом?

  • @alexeyk said in Тестирование KVRT 2020:

    Каким образом?

    Ранее указанном скрипте ничего нестандартного нет, этот же скрипт может выполнять и KVRT при лечение найденного вируса.

    @dmitry-vorontsov, @yury-spravtsev тестирование идет или уже все?

  • @angeldragon

    Ранее указанном скрипте ничего нестандартного нет, этот же скрипт может выполнять и KVRT при лечение найденного вируса.

    Нет так все просто. 

    Вы видели содержимое скрипта? Он удаляет некоторые каталоги которые создала малвара. Вы хотите чтобы KVRT при запуске удалял каталоги созданные другими антивирусами и прочими программами?

    @dmitry-vorontsov, @yury-spravtsev тестирование идет или уже все?

    Идет, мы исправляем найденные проблемы. Скоро будет новая версия для тестирования

  • @dmitry-vorontsov А есть возможность доработки с целью недопущения закрытия KVRT во время работы малварью? Или тут остается только безопасный режим?

  • @alexeyk

    А есть возможность доработки с целью недопущения закрытия KVRT во время работы малварью? Или тут остается только безопасный режим?

    Еще не знаю, надо посмотреть

  • @dmitry-vorontsov said in Тестирование KVRT 2020:

    @angeldragon

    Ранее указанном скрипте ничего нестандартного нет, этот же скрипт может выполнять и KVRT при лечение найденного вируса.

    Нет так все просто. 

    Вы видели содержимое скрипта? Он удаляет некоторые каталоги которые создала малвара. Вы хотите чтобы KVRT при запуске удалял каталоги созданные другими антивирусами и прочими программами?

    @dmitry-vorontsov, @yury-spravtsev тестирование идет или уже все?

    Идет, мы исправляем найденные проблемы. Скоро будет новая версия для тестирования

    Как минимум службу восстановления системы Windows можно восстановить при лечении вируса, и сбросить атрибуты проблемных папок по умолчанию, иначе особого смысла нет от утилиты, так как он не может вылечить вирус, который блокирует установку собственных продуктов.

  • @angeldragon Это какого же масштаба функционал должен быть в программе? И восстановление системы починить, и атрибуты папок сбросить... А еще зловреды могут файлы шифровать - надо добавить все дешифраторы. И подменять DNS - надо научить сбрасывать сетевые настройки. Отключать UAC - надо добавить возможность включать. И вообще, научить лечить все заражения.smile Все-таки, исходя из названия программы, основное ее назначение - удаление зловредов, а не восстановление всех функций системы.

  • @alexeyk дешифраторы явно лишнее wink Но восстанавливать основные функции ОС он должен, и как минимум восстанавливать возможность установки своего антивирусного продукта. coolОбычно когда устанавливаешь KIS и возникает ошибка "Возможно Ваш ПК заражен" предлагается скачать KVRT, а тут он оказывается совершенно бесполезным.Один человек писал так:

    Прямая обязанность антивируса - уметь устанавливаться на компьютер с вирусами. Если он не способен запуститься в заражённой среде, его не следует рассматривать как антивирус вообще.

  • @angeldragon Ну это только один случай - не из легких, скажем так. Мы тут и участвуем в тестировании, чтобы выявлять в том числе и подобные проблемные места, что даст разработчикам возможность обдумать необходимость доработок. Но насколько это реально и необходимо - тут только им решать. laughing

  • , last edited by Dmitry.Vorontsov

    @angeldragon

    Но восстанавливать основные функции ОС он должен, и как минимум восстанавливать возможность установки своего антивирусного продукта.

    Проблема доведена до компетентного человека, и я надеюсь, у нас будет решение этой проблемы

  • @angeldragon said in Тестирование KVRT 2020:

    Если он не способен запуститься в заражённой среде, его не следует рассматривать как антивирус вообще.

    Это товарищ simplix погорячился, конечно. В таком же духе можно сказать: антивирус, неспособный детектировать зловреда - не антивирус, ибо это его основная задача. Ну предположим, часть антивирусов установится, а вот что дальше будет, смогут ли они все вычистить - это вопрос. Кстати, в этой ситуации не запустилась установка некоторых других антивирусов из офлайн-инсталляторов.

  • , last edited by ANGElDRAGON

    @alexeyk said in Тестирование KVRT 2020:

    @angeldragon Ну это только один случай - не из легких, скажем так. Мы тут и участвуем в тестировании, чтобы выявлять в том числе и подобные проблемные места, что даст разработчикам возможность обдумать необходимость доработок. Но насколько это реально и необходимо - тут только им решать. laughing

    Для антивирусной компании, которая участвует во многих тестах и выигрывает большинство из них, это должно быть пустяком, иначе очень странно смотрится, как они выигрывают эти тесты.cool Сейчас этот майнер очень популярен и как сами заметили скачивается почти с любым пиратским игровым софтом.

    @dmitry-vorontsov said in Тестирование KVRT 2020:

    @angeldragon

    Но восстанавливать основные функции ОС он должен, и как минимум восстанавливать возможность установки своего антивирусного продукта.

    Проблема доведена до компетентного человека, и я надеюсь, у нас будет решение этой проблемы

    Если проблема будет решена, то смогу чистой совестью гордиться Лабораторией Касперского.cool

    @alexeyk said in Тестирование KVRT 2020:

    @angeldragon said in Тестирование KVRT 2020:

    Если он не способен запуститься в заражённой среде, его не следует рассматривать как антивирус вообще.

    Это товарищ simplix погорячился, конечно. В таком же духе можно сказать: антивирус, неспособный детектировать зловреда - не антивирус, ибо это его основная задача. Ну предположим, часть антивирусов установится, а вот что дальше будет, смогут ли они все вычистить - это вопрос. Кстати, в этой ситуации не запустилась установка некоторых других антивирусов из офлайн-инсталляторов.

    Да, может быть от части и слишком, но правда в его словах есть. Да, в скрипте указаны какие еще антивирусные компании пострадали от этого вируса.Я установил антивирус ЛК на зараженную систему, предварительно удалив некоторые последствия вируса, но все равно он не смог полностью вычистить систему от действия этого майнера. И разница между Free версией и KIS заметна, KIS сразу же увидел все, а для Free пришлось запускать выборочную проверку папки, где сидел вирус.

  • @angeldragon said in Тестирование KVRT 2020:

    Да, в скрипте указаны какие еще антивирусные компании пострадали от этого вируса.

    Не знаю, один из списка у меня установился после работы зловреда.

  • @dmitry-vorontsov

    Я недавно сообщал, что при запуске KVRT 15 с -freboot блокировался запуск Windows в обычном и безопасном режимах. Сегодня натолкнулся на повторение ситуации при включении Secure Boot в UEFI, но уже без KVRT. Причиной оказался неподписанный драйвер ЛК от беты KTS, причем система не загружалась даже при отключении автозапуска KTS.

    Я вот подумал в связи со схожестью ситуаций: а не включает ли KVRT 15 с этим параметром режим Secure Boot? И правильно ли я понимаю, что KVRT 20 так уже не делает?

  • @alexeyk said in Тестирование KVRT 2020:

    Я вот подумал в связи со схожестью ситуаций: а не включает ли KVRT 15 с этим параметром режим Secure Boot? И правильно ли я понимаю, что KVRT 20 так уже не делает?

    KVRT15 Secure Boot не включает. KTS думаю тоже.

    В обычном режиме KVRT 15 при запуске загружает свои драйвера, а при завершении работы выгружает.

    При наличии параметра -freboot KVRT15 устанавливает драйвера и перезагружает ОС. После перезагрузки KVRT запускается автоматом и готово к работе.

    Режим Secure Boot защищает этап загрузки ОС. Для поддержки этого режима драйвера, загружаемые на ранних стадиях загрузки ОС, должны иметь специальные подписи.

  • @dmitry-vorontsov

    Спасибо за подробности! Решил повторить эксперимент, снова KVRT 15 вызвал сбой загрузки ОС с запуском восстановления. Действительно, Secure Boot ни при чем. Запустил с -freboot -trace, логи из папки System32\LogFiles\Srt и трейсы продукта прилагаю. Также в Temp существует неудаляемая папка (изменение прав не работает, удаляется только анлокером).

    В общем, это не касается 20-й версии, но если посчитаете нужным, посмотрите логи для анализа причин сбоя: https://cloud.qainfo.ru/s/MQHJHkbuqvhPpZT

  • , last edited by Yury.Spravtsev

    Сборка обновлена!

    Сборка 20.0.4.0 доступна по ссылке https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.4.0/kvrt.exe


    Обратите внимание, что трассировки теперь лежат в папке C:\KVRT2020_Data\Traces.


    Из найденных в данном топике проблем исправлены:

    • После выполнения скана, закрытия программы и перезагрузки ОС из папки \drivers автоматически не удаляется драйвер klupd_ce844080a_kimul.sys.
    • где сказано, что "Окно закроется через..." Не очень понятно, что будет через это время
    • Если свернуть окно "Результаты проверки", то развернуть или закрыть его больше не получается
    • Что-то в этой версии не работают как минимум -d, -custom, -customlist (в этих случаях сканер просто не запускается)
    • При скане системного раздела прогресс останавливается на 1/3, после чего сканирование завершается и показывается результат.
    • Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии. И вообще информация более скудная.
    • С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается

    В процессе исправления:

    • устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?
    • После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает

  • , last edited by AlexeyK

    @yury-spravtsev Отлично, будем тестировать. smile

    Не знаю, изменяли ли в этой сборке данное окно лечения активного заражения, но тут тоже нет предупреждения о последующем после обратного отсчета действии (этот скрин с предыдущей сборки 20.0.3.0).

  • @yury-spravtsev будет ли утилита восстанавливать службу восстановления Windows, которая была удалена trojanом, как это делается в скрипте?

  • , last edited by AlexeyK

    KVRT 20.0.4.0

    1. После окончания проверки и выбора пропуска объектов в главном окне нет информации о том, что объекты не были обработаны. В KVRT 15 это есть.

    2. Если выбрать действие "Скопировать в карантин", то после его применения в главном окне отображается "Лечение завершено", хотя в 15 версии "Обнаруженные объекты не были обработаны".

    3. В справке по аргументам cmd желательно указать, в каком виде должен быть список путей для выборочной проверки (для -customlist). То есть одна директория на одну строку. Если указать все директории подряд через пробел или через запятую, то в окне они отображаются, однако ни одна из них в этом случае не проверяется.

    4. Лишний пункт в справке по аргументам cmd -dontencrypt, ведь шифрование и так отключено.

    5. Какую функцию выполняет -silent? Может я неправильно его использую? Что в 15, то в 20-й версии процесс KVRT ненадолго запускается, а потом выгружается.

    Трейсы: https://cloud.qainfo.ru/s/osQXhdZ2HMZSMA2

    6. Как возможный вариант доработки функционала: после выбора и применения в качестве действия "Пропустить" нельзя вернуться к обнаруженным угрозам, чтобы выбрать другое действие, к примеру "Удалить". Пользователю дается только один шанс для определения действия. После ошибки в выборе или просто откладывания решения придется выполнять скан заново. Кроме того, детектирований может быть много, часть из них может быть пропущена в процессе лечения, и чтобы их потом удалить - опять же нужен новый скан.



Looks like your connection to Beta Testing was lost, please wait while we try to reconnect.