4. Тестирование KVRT 2020

Тестирование KVRT 2020

  • D

    @alexeyk said in Тестирование KVRT 2020:

    Заметил такой момент при сканировании

    Это Windows балансирует нагрузку. Приоритет отдается процессу окно которого находиться в активном фокусе.

  • A
    , last edited by AlexeyK

    Заметил такой момент при сканировании. Тестирование выполнялось на виртуальной системе, где ресурсы ограничены, поэтому точно не знаю, будет ли это актуальным в реальных условиях. Если требуется семпл - могу отправить.

    При сканировании незараженной системы практически не меняется использование ЦП и скорость сканирования, когда окно KVRT в фокусе или не в фокусе/свернуто.

    Если в системе активен зловред, который постоянно использует практически весь ресурс ЦП, то разница становится существенной: при сворачивании KVRT или фокусировке вместо него другого окна резко падает использование ЦП KVRT и скорость сканирования, а почти весь ресурс снова забирает вредоносный файл.

    Видео (1 - чистая система, 2 - зараженная с активной малварью): https://cloud.qainfo.ru/s/Ss2JH0X5SJeCQ3M

  • A

    Запустил утилиту https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.4.0/kvrt.exe , посмотрел настройки и закрыл ее.

    Затем захотел удалить папку: C:\KVRT2020_Data , так ее удалить не получалось, все время сообщалась, что она занята каким-то процессом.

    Выключил ПК. Включил его на другой день и повторил процедуру удаления папки, также писало что папка занята каким-то процессом.

    В итоге пришлось перезагружать ПК и уже папка C:\KVRT2020_Data успешно удалилась.Ранее такого не было.

  • A

    @dmitry-vorontsov said in Тестирование KVRT 2020:

    @angeldragon

    Немного подправил работу программы для различных разрешений экрана. Посмотрите  как будет выглядеть на ваших устройствах. Окна не должны быть обрезанными.

    Если открыто окно "О программе", то нельзя нажать на кнопку "Начать проверку".

  • A
    , last edited by AlexeyK

    @dmitry-vorontsov said in Тестирование KVRT 2020:

    Раз вы их добавили то они вошли в список включенных по умолчанию областей сканирования. Мне кажется так логичнее.  Можете аргументировать почему следует сделать иначе?

    Позвольте высказать мнение на этот счет. На мой взгляд, действия по умолчанию или, как написано в русском варианте, рекомендуемые действия, ассоциируются у пользователей с настройками, заданными разработчиками. Даже само название "рекомендуемые" это подразумевает. Никто же не рекомендовал включать в сканирование другие каталоги. Это как сброс до заводских настроек. Думаю, что доп. флажки при этом нужно снимать и отмечать только три верхних пункта - как при запуске программы.

  • D
    , last edited by Dmitry.Vorontsov

    @angeldragon

    Немного подправил работу программы для различных разрешений экрана. Посмотрите  как будет выглядеть на ваших устройствах. Окна не должны быть обрезанными.

  • A

    @dmitry-vorontsov said in Тестирование KVRT 2020:

    запускать следует минимум с двумя параметрами -silent -accepteula

    Все понял, так работает. Спасибо!

  • A

    @dmitry-vorontsov said in Тестирование KVRT 2020:

    Так это хорошо. Разве нет? Можно скачать CureIt и запустить сразу три сканирования

    Обратил внимание на это и сообщил. Просто запустить две 20-х или две 15-х версии тоже нельзя, а вот такой сценарий возможен. Если это ни на что особо не влияет - пропускаем.

    А вот запускать сразу три утилиты... Если они будут сканировать одновременно один файл, то будет, наверное, битва.laughing

    Кстати, предыдущий зловред теперь действительно не может выгрузить утилиту во время скана в обычном режиме. Отличная работа! smile

  • D
    , last edited by Dmitry.Vorontsov

    @alexeyk said in Тестирование KVRT 2020:

    Не запускается: процесс почти сразу выгружается и трейсы не растут, видео здесь:

    Только сейчас понял, что для того чтобы процесс пошел требуется согласиться с EULA. Т.е. запускать следует минимум с двумя параметрами -silent -accepteula

  • A

    @dmitry-vorontsov said in Тестирование KVRT 2020:

    Мне кажется вы перегибаете. Пользователь сделал выбор. Какой смысл нам теперь дергать.

    Тогда уж не я перегибаю, а 15 версия перегибает. smile Я просто с ней сравнил, потому что не знаю точно, где баг, где as designed.

    Только вот "Скопировать в карантин" - это не лечение, а просто копирование детектированных угроз, которые остаются на месте.

    Сканирование запускается в отдельном процессе без окна.

    Не запускается: процесс почти сразу выгружается и трейсы не растут, видео здесь: https://cloud.qainfo.ru/s/tYb7kuJ3I61VoOB

    С остальным понятно, спасибо за комментарии.

  • D

    @alexeyk said in Тестирование KVRT 2020:

    7. Если добавить объект и нажать "Отмена", то добавление объекта не отменяется и он присутствует в окне настроек сканирования.

    Мы обсудим.

    Если запустить сначала KVRT 15, а потом KVRT 20, то такого сообщения нет, обе утилиты работают. И можно запустить одновременный скан.

    Так это хорошо. Разве нет? Можно скачать CureIt и запустить сразу три сканирования :)

  • D

    @sq said in Тестирование KVRT 2020:

    1) Смог добавить диск C : как папку:

    Это нормально

    При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной,

    Раз вы их добавили то они вошли в список включенных по умолчанию областей сканирования. Мне кажется так логичнее. 

    Можете аргументировать почему следует сделать иначе?

    Хотел уточнить, если при нажатие клавишь alt+m создается новая папка, так и должно быть?

    Это системное окно выбора каталога. Функция создания каталога часть этого окна. Возможно есть способ отключить эту кнопку. На вскиду я его не нашел и отложил на потом. Вроде оно не мешает.

  • D
    1. После окончания проверки и выбора пропуска объектов в главном окне нет информации о том, что объекты не были обработаны. В KVRT 15 это есть.
    2. Если выбрать действие "Скопировать в карантин", то после его применения в главном окне отображается "Лечение завершено", хотя в 15 версии "Обнаруженные объекты не были обработаны".

    Мне кажется вы перегибаете. Пользователь сделал выбор. Какой смысл нам теперь дергать. 

    3. В справке по аргументам cmd желательно указать, в каком виде должен быть список путей для выборочной проверки (для -customlist).

    Мы подумаем как это лучше сделать. Не хочется превращать окно справки в полноценную инструкцию.

    4. Лишний пункт в справке по аргументам cmd -dontencrypt, ведь шифрование и так отключено.

    Это особенность бета сборки - трейсы всегда включены и шифрование выключено

    5. Какую функцию выполняет -silent? Может я неправильно его использую?

    Сканирование запускается в отдельном процессе без окна. Можете попробовать запустить этот режим и смотреть на размер трейсов. Если файл растет, значит все работает как надо.

  • A

    7. Если добавить объект и нажать "Отмена", то добавление объекта не отменяется и он присутствует в окне настроек сканирования. Видео: https://cloud.qainfo.ru/s/dKxaDR40O6RTdfY

    8. Если запустить KVRT 20, а затем KVRT 15, то на этапе инициализации выдается сообщение о том, что запущена другая копия утилиты. Если запустить сначала KVRT 15, а потом KVRT 20, то такого сообщения нет, обе утилиты работают. И можно запустить одновременный скан.

  • A
    , last edited by AlexeyK

    @SQ

    При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной

    Приветствую! В 15 версии так же. Кроме того, если теперь снять эти галочки, а затем восстановить дефолт, то они снова будут проставлены.smile

  • Хотел уточнить, если при нажатие клавишь alt+m создается новая папка, так и должно быть?

  • , last edited by SQ

    Привествую,

    1) Смог добавить диск C : как папку:

    2) При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной, это так и задумано?

  • A
    , last edited by AlexeyK

    KVRT 20.0.4.0

    1. После окончания проверки и выбора пропуска объектов в главном окне нет информации о том, что объекты не были обработаны. В KVRT 15 это есть.

    2. Если выбрать действие "Скопировать в карантин", то после его применения в главном окне отображается "Лечение завершено", хотя в 15 версии "Обнаруженные объекты не были обработаны".

    3. В справке по аргументам cmd желательно указать, в каком виде должен быть список путей для выборочной проверки (для -customlist). То есть одна директория на одну строку. Если указать все директории подряд через пробел или через запятую, то в окне они отображаются, однако ни одна из них в этом случае не проверяется.

    4. Лишний пункт в справке по аргументам cmd -dontencrypt, ведь шифрование и так отключено.

    5. Какую функцию выполняет -silent? Может я неправильно его использую? Что в 15, то в 20-й версии процесс KVRT ненадолго запускается, а потом выгружается.

    Трейсы: https://cloud.qainfo.ru/s/osQXhdZ2HMZSMA2

    6. Как возможный вариант доработки функционала: после выбора и применения в качестве действия "Пропустить" нельзя вернуться к обнаруженным угрозам, чтобы выбрать другое действие, к примеру "Удалить". Пользователю дается только один шанс для определения действия. После ошибки в выборе или просто откладывания решения придется выполнять скан заново. Кроме того, детектирований может быть много, часть из них может быть пропущена в процессе лечения, и чтобы их потом удалить - опять же нужен новый скан.

  • A

    @yury-spravtsev будет ли утилита восстанавливать службу восстановления Windows, которая была удалена trojanом, как это делается в скрипте?

  • A
    , last edited by AlexeyK

    @yury-spravtsev Отлично, будем тестировать. smile

    Не знаю, изменяли ли в этой сборке данное окно лечения активного заражения, но тут тоже нет предупреждения о последующем после обратного отсчета действии (этот скрин с предыдущей сборки 20.0.3.0).

Looks like your connection to Beta Testing was lost, please wait while we try to reconnect.