Тестирование KVRT 2020
-
Немного подправил работу программы для различных разрешений экрана. Посмотрите как будет выглядеть на ваших устройствах. Окна не должны быть обрезанными.
-
@dmitry-vorontsov said in Тестирование KVRT 2020:
запускать следует минимум с двумя параметрами -silent -accepteula
Все понял, так работает. Спасибо!
-
@dmitry-vorontsov said in Тестирование KVRT 2020:
Так это хорошо. Разве нет? Можно скачать CureIt и запустить сразу три сканирования
Обратил внимание на это и сообщил. Просто запустить две 20-х или две 15-х версии тоже нельзя, а вот такой сценарий возможен. Если это ни на что особо не влияет - пропускаем.
А вот запускать сразу три утилиты... Если они будут сканировать одновременно один файл, то будет, наверное, битва.
Кстати, предыдущий зловред теперь действительно не может выгрузить утилиту во время скана в обычном режиме. Отличная работа!
-
@alexeyk said in Тестирование KVRT 2020:
Не запускается: процесс почти сразу выгружается и трейсы не растут, видео здесь:
Только сейчас понял, что для того чтобы процесс пошел требуется согласиться с EULA. Т.е. запускать следует минимум с двумя параметрами -silent -accepteula
-
@dmitry-vorontsov said in Тестирование KVRT 2020:
Мне кажется вы перегибаете. Пользователь сделал выбор. Какой смысл нам теперь дергать.
Тогда уж не я перегибаю, а 15 версия перегибает.
Я просто с ней сравнил, потому что не знаю точно, где баг, где as designed.Только вот "Скопировать в карантин" - это не лечение, а просто копирование детектированных угроз, которые остаются на месте.
Сканирование запускается в отдельном процессе без окна.
Не запускается: процесс почти сразу выгружается и трейсы не растут, видео здесь: https://cloud.qainfo.ru/s/tYb7kuJ3I61VoOB
С остальным понятно, спасибо за комментарии.
-
@alexeyk said in Тестирование KVRT 2020:
7. Если добавить объект и нажать "Отмена", то добавление объекта не отменяется и он присутствует в окне настроек сканирования.
Мы обсудим.
Если запустить сначала KVRT 15, а потом KVRT 20, то такого сообщения нет, обе утилиты работают. И можно запустить одновременный скан.
Так это хорошо. Разве нет? Можно скачать CureIt и запустить сразу три сканирования :)
-
@sq said in Тестирование KVRT 2020:
1) Смог добавить диск C : как папку:
Это нормально
При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной,
Раз вы их добавили то они вошли в список включенных по умолчанию областей сканирования. Мне кажется так логичнее.
Можете аргументировать почему следует сделать иначе?
Хотел уточнить, если при нажатие клавишь alt+m создается новая папка, так и должно быть?
Это системное окно выбора каталога. Функция создания каталога часть этого окна. Возможно есть способ отключить эту кнопку. На вскиду я его не нашел и отложил на потом. Вроде оно не мешает.
-
- @alexeyk said in Тестирование KVRT 2020:
1. После окончания проверки и выбора пропуска объектов в главном окне нет информации о том, что объекты не были обработаны. В KVRT 15 это есть.
2. Если выбрать действие "Скопировать в карантин", то после его применения в главном окне отображается "Лечение завершено", хотя в 15 версии "Обнаруженные объекты не были обработаны".
Мне кажется вы перегибаете. Пользователь сделал выбор. Какой смысл нам теперь дергать.
3. В справке по аргументам cmd желательно указать, в каком виде должен быть список путей для выборочной проверки (для -customlist).
Мы подумаем как это лучше сделать. Не хочется превращать окно справки в полноценную инструкцию.
4. Лишний пункт в справке по аргументам cmd -dontencrypt, ведь шифрование и так отключено.
Это особенность бета сборки - трейсы всегда включены и шифрование выключено
5. Какую функцию выполняет -silent? Может я неправильно его использую?
Сканирование запускается в отдельном процессе без окна. Можете попробовать запустить этот режим и смотреть на размер трейсов. Если файл растет, значит все работает как надо.
-
7. Если добавить объект и нажать "Отмена", то добавление объекта не отменяется и он присутствует в окне настроек сканирования. Видео: https://cloud.qainfo.ru/s/dKxaDR40O6RTdfY
8. Если запустить KVRT 20, а затем KVRT 15, то на этапе инициализации выдается сообщение о том, что запущена другая копия утилиты. Если запустить сначала KVRT 15, а потом KVRT 20, то такого сообщения нет, обе утилиты работают. И можно запустить одновременный скан.
-
-
-
KVRT 20.0.4.0
1. После окончания проверки и выбора пропуска объектов в главном окне нет информации о том, что объекты не были обработаны. В KVRT 15 это есть.
2. Если выбрать действие "Скопировать в карантин", то после его применения в главном окне отображается "Лечение завершено", хотя в 15 версии "Обнаруженные объекты не были обработаны".
3. В справке по аргументам cmd желательно указать, в каком виде должен быть список путей для выборочной проверки (для -customlist). То есть одна директория на одну строку. Если указать все директории подряд через пробел или через запятую, то в окне они отображаются, однако ни одна из них в этом случае не проверяется.
4. Лишний пункт в справке по аргументам cmd -dontencrypt, ведь шифрование и так отключено.
5. Какую функцию выполняет -silent? Может я неправильно его использую? Что в 15, то в 20-й версии процесс KVRT ненадолго запускается, а потом выгружается.
Трейсы: https://cloud.qainfo.ru/s/osQXhdZ2HMZSMA2
6. Как возможный вариант доработки функционала: после выбора и применения в качестве действия "Пропустить" нельзя вернуться к обнаруженным угрозам, чтобы выбрать другое действие, к примеру "Удалить". Пользователю дается только один шанс для определения действия. После ошибки в выборе или просто откладывания решения придется выполнять скан заново. Кроме того, детектирований может быть много, часть из них может быть пропущена в процессе лечения, и чтобы их потом удалить - опять же нужен новый скан.
-
@yury-spravtsev будет ли утилита восстанавливать службу восстановления Windows, которая была удалена trojanом, как это делается в скрипте?
-
@yury-spravtsev Отлично, будем тестировать.
Не знаю, изменяли ли в этой сборке данное окно лечения активного заражения, но тут тоже нет предупреждения о последующем после обратного отсчета действии (этот скрин с предыдущей сборки 20.0.3.0).
-
Сборка обновлена!
Сборка 20.0.4.0 доступна по ссылке https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.4.0/kvrt.exe
Обратите внимание, что трассировки теперь лежат в папке C:\KVRT2020_Data\Traces.
Из найденных в данном топике проблем исправлены:
- После выполнения скана, закрытия программы и перезагрузки ОС из папки \drivers автоматически не удаляется драйвер klupd_ce844080a_kimul.sys.
- где сказано, что "Окно закроется через..." Не очень понятно, что будет через это время
- Если свернуть окно "Результаты проверки", то развернуть или закрыть его больше не получается
- Что-то в этой версии не работают как минимум -d, -custom, -customlist (в этих случаях сканер просто не запускается)
- При скане системного раздела прогресс останавливается на 1/3, после чего сканирование завершается и показывается результат.
- Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии. И вообще информация более скудная.
- С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается
В процессе исправления:
- устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?
- После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает
-
Спасибо за подробности! Решил повторить эксперимент, снова KVRT 15 вызвал сбой загрузки ОС с запуском восстановления. Действительно, Secure Boot ни при чем. Запустил с -freboot -trace, логи из папки System32\LogFiles\Srt и трейсы продукта прилагаю. Также в Temp существует неудаляемая папка (изменение прав не работает, удаляется только анлокером).
В общем, это не касается 20-й версии, но если посчитаете нужным, посмотрите логи для анализа причин сбоя: https://cloud.qainfo.ru/s/MQHJHkbuqvhPpZT
-
@alexeyk said in Тестирование KVRT 2020:
Я вот подумал в связи со схожестью ситуаций: а не включает ли KVRT 15 с этим параметром режим Secure Boot? И правильно ли я понимаю, что KVRT 20 так уже не делает?
KVRT15 Secure Boot не включает. KTS думаю тоже.
В обычном режиме KVRT 15 при запуске загружает свои драйвера, а при завершении работы выгружает.
При наличии параметра -freboot KVRT15 устанавливает драйвера и перезагружает ОС. После перезагрузки KVRT запускается автоматом и готово к работе.
Режим Secure Boot защищает этап загрузки ОС. Для поддержки этого режима драйвера, загружаемые на ранних стадиях загрузки ОС, должны иметь специальные подписи.
-
Я недавно сообщал, что при запуске KVRT 15 с -freboot блокировался запуск Windows в обычном и безопасном режимах. Сегодня натолкнулся на повторение ситуации при включении Secure Boot в UEFI, но уже без KVRT. Причиной оказался неподписанный драйвер ЛК от беты KTS, причем система не загружалась даже при отключении автозапуска KTS.
Я вот подумал в связи со схожестью ситуаций: а не включает ли KVRT 15 с этим параметром режим Secure Boot? И правильно ли я понимаю, что KVRT 20 так уже не делает?
-
@angeldragon said in Тестирование KVRT 2020:
Да, в скрипте указаны какие еще антивирусные компании пострадали от этого вируса.
Не знаю, один из списка у меня установился после работы зловреда.
