Тестирование KVRT 2020

Yury.Spravtsev

Сборка обновлена!

Сборка 20.0.4.0 доступна по ссылке <a href="https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.4.0/kvrt.exe" target="_blank" rel="noopener">https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.4.0/kvrt.exe</a>
<hr />
Обратите внимание, что трассировки теперь лежат в папке C:\KVRT2020_Data\Traces.
<hr />
Из найденных в данном топике проблем исправлены:
<ul>
<li>После выполнения скана, закрытия программы и перезагрузки ОС из папки \drivers автоматически не удаляется драйвер klupd_ce844080a_kimul.sys.</li>
<li>где сказано, что "Окно закроется через..." Не очень понятно, что будет через это время</li>
<li>Если свернуть окно "Результаты проверки", то развернуть или закрыть его больше не получается</li>
<li>Что-то в этой версии не работают как минимум -d, -custom, -customlist (в этих случаях сканер просто не запускается)</li>
<li>При скане системного раздела прогресс останавливается на 1/3, после чего сканирование завершается и показывается результат.</li>
<li>Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии. И вообще информация более скудная.</li>
<li>С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается</li>
</ul>
<hr />
В процессе исправления:
<ul>
<li>устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?</li>
<li>После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает</li>
</ul>

AlexeyK

@yury-spravtsev Отлично, будем тестировать. <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" />
Не знаю, изменяли ли в этой сборке данное окно лечения активного заражения, но тут тоже нет предупреждения о последующем после обратного отсчета действии (этот скрин с предыдущей сборки 20.0.3.0).
<img src="https://i5.imageban.ru/out/2020/12/22/404795dc9b6f8475ec58dc762cdc55ba.png" alt="" width="240" height="224" />

ANGElDRAGON

@yury-spravtsev будет ли утилита восстанавливать службу восстановления Windows, которая была удалена trojanом, как это <a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&comment=1061843" target="_blank" rel="noopener">делается в скрипте?</a>

AlexeyK

KVRT 20.0.4.0
1. После окончания проверки и выбора пропуска объектов в главном окне нет информации о том, что объекты не были обработаны. В KVRT 15 это есть.
<img src="https://i4.imageban.ru/out/2020/12/23/466f9395b895174bfd2eb9f03fa4f1d9.png" alt="" width="488" height="113" />
2. Если выбрать действие "Скопировать в карантин", то после его применения в главном окне отображается "Лечение завершено", хотя в 15 версии "Обнаруженные объекты не были обработаны".
<img src="https://i3.imageban.ru/out/2020/12/23/882e306b9c263e00b76de5fdb9cfe5b7.png" alt="" width="488" height="129" />
3. В справке по аргументам cmd желательно указать, в каком виде должен быть список путей для выборочной проверки (для -customlist). То есть одна директория на одну строку. Если указать все директории подряд через пробел или через запятую, то в окне они отображаются, однако ни одна из них в этом случае не проверяется.
<img src="https://i5.imageban.ru/out/2020/12/23/0e0f42dec0512029e0ff897e91b913b5.png" width="287" height="189" />
4. Лишний пункт в справке по аргументам cmd -dontencrypt, ведь шифрование и так отключено.
<img src="https://i3.imageban.ru/out/2020/12/23/b02f053aa8ff7972138362c33eb02a35.png" alt="" width="448" height="225" />
5. Какую функцию выполняет -silent? Может я неправильно его использую? Что в 15, то в 20-й версии процесс KVRT ненадолго запускается, а потом выгружается.
Трейсы: <a href="https://cloud.qainfo.ru/s/osQXhdZ2HMZSMA2" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/osQXhdZ2HMZSMA2</a>
6. Как возможный вариант доработки функционала: после выбора и применения в качестве действия "Пропустить" нельзя вернуться к обнаруженным угрозам, чтобы выбрать другое действие, к примеру "Удалить". Пользователю дается только один шанс для определения действия. После ошибки в выборе или просто откладывания решения придется выполнять скан заново. Кроме того, детектирований может быть много, часть из них может быть пропущена в процессе лечения, и чтобы их потом удалить - опять же нужен новый скан.

SQ

Привествую,

1) Смог добавить диск C : как папку:
2) При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной, это так и задумано?

<img src="https://cloud.qainfo.ru/index.php/apps/files_sharing/ajax/publicpreview.php?x=1893&y=425&a=true&file=disk_c.png&t=u3HWFkIFHmRpD3V&scalingup=0" alt="" width="569" height="425" />

SQ

Хотел уточнить, если при нажатие клавишь alt+m создается новая папка, так и должно быть?<img src="https://cloud.qainfo.ru/index.php/apps/files_sharing/ajax/publicpreview.php?x=1920&y=390&a=true&file=kvrt_002.png&t=FeTCEb761Z1vmxG&scalingup=0" alt="" width="736" height="390" />

AlexeyK

<h2>@SQ</h2>
<blockquote>
При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной
</blockquote>
Приветствую! В 15 версии так же. Кроме того, если теперь снять эти галочки, а затем восстановить дефолт, то они снова будут проставлены.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" />

AlexeyK

7. Если добавить объект и нажать "Отмена", то добавление объекта не отменяется и он присутствует в окне настроек сканирования. Видео: <a href="https://cloud.qainfo.ru/s/dKxaDR40O6RTdfY" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/dKxaDR40O6RTdfY</a>
8. Если запустить KVRT 20, а затем KVRT 15, то на этапе инициализации выдается сообщение о том, что запущена другая копия утилиты. Если запустить сначала KVRT 15, а потом KVRT 20, то такого сообщения нет, обе утилиты работают. И можно запустить одновременный скан.
<img src="https://i4.imageban.ru/out/2020/12/24/108adfcb472cce3f2e582040557cbf0c.png" alt="" width="1094" height="208" />

Dmitry.Vorontsov

<ul>
<li>@alexeyk said in <a href="/post/11896" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</li>
</ul>
<blockquote>1. После окончания проверки и выбора пропуска объектов в главном окне нет информации о том, что объекты не были обработаны. В KVRT 15 это есть.</blockquote>
<blockquote>2. Если выбрать действие "Скопировать в карантин", то после его применения в главном окне отображается "Лечение завершено", хотя в 15 версии "Обнаруженные объекты не были обработаны".</blockquote>
Мне кажется вы перегибаете. Пользователь сделал выбор. Какой смысл нам теперь дергать. 
<blockquote>
3. В справке по аргументам cmd желательно указать, в каком виде должен быть список путей для выборочной проверки (для -customlist).
</blockquote>
Мы подумаем как это лучше сделать. Не хочется превращать окно справки в полноценную инструкцию.
<blockquote>
4. Лишний пункт в справке по аргументам cmd -dontencrypt, ведь шифрование и так отключено.
</blockquote>
Это особенность бета сборки - трейсы всегда включены и шифрование выключено
<blockquote>
5. Какую функцию выполняет -silent? Может я неправильно его использую?
</blockquote>
Сканирование запускается в отдельном процессе без окна. Можете попробовать запустить этот режим и смотреть на размер трейсов. Если файл растет, значит все работает как надо.

Dmitry.Vorontsov

@sq said in <a href="/post/11912" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>1) Смог добавить диск C : как папку:</blockquote>
Это нормально
<blockquote>
При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной,
</blockquote>
Раз вы их добавили то они вошли в список включенных по умолчанию областей сканирования. Мне кажется так логичнее. 
Можете аргументировать почему следует сделать иначе?
<blockquote>
Хотел уточнить, если при нажатие клавишь alt+m создается новая папка, так и должно быть?
</blockquote>
Это системное окно выбора каталога. Функция создания каталога часть этого окна. Возможно есть способ отключить эту кнопку. На вскиду я его не нашел и отложил на потом. Вроде оно не мешает.

Dmitry.Vorontsov

@alexeyk said in <a href="/post/11916" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>7. Если добавить объект и нажать "Отмена", то добавление объекта не отменяется и он присутствует в окне настроек сканирования.</blockquote>
Мы обсудим.
<blockquote>
Если запустить сначала KVRT 15, а потом KVRT 20, то такого сообщения нет, обе утилиты работают. И можно запустить одновременный скан.
</blockquote>
Так это хорошо. Разве нет? Можно скачать CureIt и запустить сразу три сканирования :)

AlexeyK

@dmitry-vorontsov said in <a href="/post/11921" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Мне кажется вы перегибаете. Пользователь сделал выбор. Какой смысл нам теперь дергать.</blockquote>
Тогда уж не я перегибаю, а 15 версия перегибает. <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /> Я просто с ней сравнил, потому что не знаю точно, где баг, где as designed.
Только вот "Скопировать в карантин" - это не лечение, а просто копирование детектированных угроз, которые остаются на месте.
<blockquote>
Сканирование запускается в отдельном процессе без окна.
</blockquote>
Не запускается: процесс почти сразу выгружается и трейсы не растут, видео здесь: <a href="https://cloud.qainfo.ru/s/tYb7kuJ3I61VoOB" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/tYb7kuJ3I61VoOB</a>
<hr />
С остальным понятно, спасибо за комментарии.

Dmitry.Vorontsov

@alexeyk said in <a href="/post/11924" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Не запускается: процесс почти сразу выгружается и трейсы не растут, видео здесь:</blockquote>
Только сейчас понял, что для того чтобы процесс пошел требуется согласиться с EULA. Т.е. запускать следует минимум с двумя параметрами -silent -accepteula

AlexeyK

@dmitry-vorontsov said in <a href="/post/11923" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Так это хорошо. Разве нет? Можно скачать CureIt и запустить сразу три сканирования</blockquote>
Обратил внимание на это и сообщил. Просто запустить две 20-х или две 15-х версии тоже нельзя, а вот такой сценарий возможен. Если это ни на что особо не влияет - пропускаем.
А вот запускать сразу три утилиты... Если они будут сканировать одновременно один файл, то будет, наверное, битва.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-laughing.gif" alt="laughing" />
Кстати, предыдущий зловред теперь действительно не может выгрузить утилиту во время скана в обычном режиме. Отличная работа! <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" />

AlexeyK

@dmitry-vorontsov said in <a href="/post/11927" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>запускать следует минимум с двумя параметрами -silent -accepteula</blockquote>
Все понял, так работает. Спасибо!

Dmitry.Vorontsov

@angeldragon
Немного подправил работу программы для различных разрешений экрана. Посмотрите как будет выглядеть на ваших устройствах. Окна не должны быть обрезанными.

AlexeyK

@dmitry-vorontsov said in <a href="/post/11922" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Раз вы их добавили то они вошли в список включенных по умолчанию областей сканирования. Мне кажется так логичнее. Можете аргументировать почему следует сделать иначе?</blockquote>
Позвольте высказать мнение на этот счет. На мой взгляд, действия по умолчанию или, как написано в русском варианте, рекомендуемые действия, ассоциируются у пользователей с настройками, заданными разработчиками. Даже само название "рекомендуемые" это подразумевает. Никто же не рекомендовал включать в сканирование другие каталоги. Это как сброс до заводских настроек. Думаю, что доп. флажки при этом нужно снимать и отмечать только три верхних пункта - как при запуске программы.

ANGElDRAGON

@dmitry-vorontsov said in <a href="/post/11931" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>
@angeldragon
Немного подправил работу программы для различных разрешений экрана. Посмотрите как будет выглядеть на ваших устройствах. Окна не должны быть обрезанными.
</blockquote>
<img src="https://c.radikal.ru/c11/2012/04/ae6ad44e1833.png" alt="" width="350" height="128" />
Если открыто окно "О программе", то нельзя нажать на кнопку "Начать проверку".

ANGElDRAGON

Запустил утилиту <a href="/post/11941" target="_blank" rel="noopener"><a href="https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.4.0/kvrt.exe" target="_blank" rel="noopener">https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.4.0/kvrt.exe</a> </a>, посмотрел настройки и закрыл ее.
Затем захотел удалить папку: C:\KVRT2020_Data , так ее удалить не получалось, все время сообщалась, что она занята каким-то процессом.
Выключил ПК. Включил его на другой день и повторил процедуру удаления папки, также писало что папка занята каким-то процессом.
В итоге пришлось перезагружать ПК и уже папка C:\KVRT2020_Data успешно удалилась.Ранее такого не было.

AlexeyK

Заметил такой момент при сканировании. Тестирование выполнялось на виртуальной системе, где ресурсы ограничены, поэтому точно не знаю, будет ли это актуальным в реальных условиях. Если требуется семпл - могу отправить.
При сканировании незараженной системы практически не меняется использование ЦП и скорость сканирования, когда окно KVRT в фокусе или не в фокусе/свернуто.
Если в системе активен зловред, который постоянно использует практически весь ресурс ЦП, то разница становится существенной: при сворачивании KVRT или фокусировке вместо него другого окна резко падает использование ЦП KVRT и скорость сканирования, а почти весь ресурс снова забирает вредоносный файл.
Видео (1 - чистая система, 2 - зараженная с активной малварью): <a href="https://cloud.qainfo.ru/s/Ss2JH0X5SJeCQ3M" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/Ss2JH0X5SJeCQ3M</a>