Тестирование KVRT 2020

AlexeyK

<p>@dmitry-vorontsov said in <a href="/post/12001" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Самое вероятная причина в том, что Ваш штатный антивирус изучает файлы созданные нашей утилитой в каталоге KVRT2020_Data. </blockquote>
<p>У меня и на предыдущей версии так было, папка не удаляется, пока не перезагрузишь систему. Причина, как я понимаю, в драйвере в папке Temp. После рестарта ОС он удаляется, тогда можно и папку удалить. Антивирус не играет роли, даже с отключенным то же самое.</p>
<p><img src="https://i2.imageban.ru/out/2020/12/28/868bdf00e18bf53e1f790c556c4ada77.png" alt="" width="294" height="158" /></p>

Dmitry.Vorontsov

<p>@alexeyk said in <a href="/post/12005" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>У меня и на предыдущей версии так было, папка не удаляется, пока не перезагрузишь систему. Причина, как я понимаю, в драйвере в папке Temp. После рестарта ОС он удаляется, тогда можно и папку удалить.</blockquote>
<p>Да, вы правы. На Windows 10 файл загруженного драйвера не может быть удален. Выключение компьютера обычно выполняет гибернацию системы, а не "честное" выключение. При выходе из гибернации все загруженные до гибернации драйвера остаются в памяти. Поэтому Вам не удалось удалить KVRT2020_Data после выключения. А вот перезагрузка - это "честное" выключение. </p>

AlexeyK

<p>@dmitry-vorontsov За время тестов на детектирование зловредов и лечение зараженной системы никаких проблем с работой KVRT обнаружено не было. Лечение с несколькими перезапусками выполняет, файлы детектирует, удаляет, лечит, восстановление из карантина работает, все действия выполняет согласно настройкам. Однако, после работы зловредов лечение может быть масштабным и длительным, что затрудняет полную оценку результата.</p>
<p>В связи с этим, может у Вас будут какие-то идеи, куда следует обратить особое внимание? Где могут встретиться "болевые точки" в работе продукта? Если таковые имеются - расскажите, буду изучать это в первую очередь.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>

ANGElDRAGON

<p>@dmitry-vorontsov said in <a href="/post/12006" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@alexeyk said in <a href="/post/12005" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>У меня и на предыдущей версии так было, папка не удаляется, пока не перезагрузишь систему. Причина, как я понимаю, в драйвере в папке Temp. После рестарта ОС он удаляется, тогда можно и папку удалить.</blockquote>
<p>Да, вы правы. На Windows 10 файл загруженного драйвера не может быть удален. Выключение компьютера обычно выполняет гибернацию системы, а не "честное" выключение. При выходе из гибернации все загруженные до гибернации драйвера остаются в памяти. Поэтому Вам не удалось удалить KVRT2020_Data после выключения. А вот перезагрузка - это "честное" выключение. </p>
</blockquote>
<p>Думаю, это нужно где-то в справке KVRT  указать, сейчас ведь мало кто перезагружает систему, больше: выключил и включил.</p>

KOTGDI

<p>При скачивании было написано, чтоб удалить перезагрузите ПК.</p>

SQ

<p>Я запустил одновременно KVRT2020 и KVRT2015. Заметил, что в 2015 версии кнопка close не активна во время сканирования, а в 2020 версии активная, т.е. я могу закрыть в любой момент.</p>
<p><img src="https://cloud.qainfo.ru/index.php/apps/files_sharing/ajax/publicpreview.php?x=1920&amp;y=390&amp;a=true&amp;file=kvrt.png&amp;t=CagY7eahQEuGnYh&amp;scalingup=0" alt="" width="792" height="390" /></p>
<p></p>
<p>При этом 2015 версия завершила сканирование быстрее и на 4 файла в отчете больше.<img src="https://cloud.qainfo.ru/index.php/apps/files_sharing/ajax/publicpreview.php?x=1920&amp;y=390&amp;a=true&amp;file=kvrt_result.png&amp;t=tBATWPp69Pen8JQ&amp;scalingup=0" alt="" width="804" height="390" /></p>
<p>Также в 15 версии указано в результате, что вредононое ПО не найдено, а в 20 что сканирование завершено.По мне информативней было бы, если было бы указано что вредоносное ПО не найдено.</p>
<p>Трейсы : https://cloud.qainfo.ru/s/xnpKa3kZ6EJfUFP</p>

SQ

<p>Если в безопасном режиме попытаться запустить две версии продукта одновременно, то 2020 версия продукта падает.</p>
<p></p>
<p> <img src="https://cloud.qainfo.ru/index.php/apps/files_sharing/ajax/publicpreview.php?x=1920&amp;y=390&amp;a=true&amp;file=KVRT_2020_safemode.png&amp;t=nDTPNtxJX2u8efL&amp;scalingup=0" alt="" width="512" height="390" /></p>
<p></p>
<p>Трейсы: https://cloud.qainfo.ru/s/sX3GjL0j4VNvxZn</p>

SQ

<p>Если создать файлы "KVRT_Data" и "KVRT2020_Data", то версия 2015 запускается, однако сканировани не работает. В случае 2020 выдается ошибка, что не может создаться каталог.Этой фичей уже давно пользуются злоумышлиники с майнерами, что не дает пользователям использовать различные продукты для сканирования, например KVRT.<img src="https://cloud.qainfo.ru/index.php/apps/files_sharing/ajax/publicpreview.php?x=1920&amp;y=390&amp;a=true&amp;file=KVRT2020_file.png&amp;t=u7hvnI7wE8mXZWl&amp;scalingup=0" alt="" width="710" height="390" /></p>
<p>Надеюсь, вы сможете что-то придумать, чтобы это обойти, иначе KVRT, будет полезен не во всех случаях. особенно если файлы будут скрытые и имееть аттрибут системный.</p>
<p></p>
<p>Примеров в интернете хватает : https://forum.kasperskyclub.ru/topic/78804-resheno-ne-zapuskaetsja-proverka-na-virusy-v-kvrt/</p>

ANGElDRAGON

<p>@sq said in <a href="/post/12083" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>Если создать файлы "KVRT_Data" и "KVRT2020_Data", то версия 2015 запускается, однако сканировани не работает. В случае 2020 выдается ошибка, что не может создаться каталог.Этой фичей уже давно пользуются злоумышлиники с майнерами, что не дает пользователям использовать различные продукты для сканирования, например KVRT.<img src="https://cloud.qainfo.ru/index.php/apps/files_sharing/ajax/publicpreview.php?x=1920&amp;y=390&amp;a=true&amp;file=KVRT2020_file.png&amp;t=u7hvnI7wE8mXZWl&amp;scalingup=0" alt="" width="710" height="390" /></p>
<p>Надеюсь, вы сможете что-то придумать, чтобы это обойти, иначе KVRT, будет полезен не во всех случаях. особенно если файлы будут скрытые и имееть аттрибут системный.</p>
<p></p>
<p>Примеров в интернете хватает : https://forum.kasperskyclub.ru/topic/78804-resheno-ne-zapuskaetsja-proverka-na-virusy-v-kvrt/</p>
</blockquote>
<p>Это давно обещали поправить @<strong><a href="/user/yury-spravtsev" target="_blank" rel="noopener" data-username="Yury.Spravtsev" data-uid="4900">Yury.Spravtsev</a></strong>, видно забыли <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-frown.gif" alt="frown" /></p>

Yury.Spravtsev

<p>@sq said in <a href="/post/12081" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>Я запустил одновременно KVRT2020 и KVRT2015. Заметил, что в 2015 версии кнопка close не активна во время сканирования, а в 2020 версии активная, т.е. я могу закрыть в любой момент.</p>
<p>Также в 15 версии указано в результате, что вредононое ПО не найдено, а в 20 что сканирование завершено.По мне информативней было бы, если было бы указано что вредоносное ПО не найдено.</p>
</blockquote>
<p>Спасибо, обсудим как лучше сделать.</p>
<p>@sq said in <a href="/post/12081" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>При этом 2015 версия завершила сканирование быстрее и на 4 файла в отчете больше.</p>
</blockquote>
<p>Это нормально. Время и число файлов постоянно меняется, т.к. постоянно запускаются/завершаются фоновые процессы.</p>

Yury.Spravtsev

<p>@sq said in <a href="/post/12083" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>Если создать файлы "KVRT_Data" и "KVRT2020_Data", то версия 2015 запускается, однако сканировани не работает. В случае 2020 выдается ошибка, что не может создаться каталог.Этой фичей уже давно пользуются злоумышлиники с майнерами, что не дает пользователям использовать различные продукты для сканирования, например KVRT.<img src="https://cloud.qainfo.ru/index.php/apps/files_sharing/ajax/publicpreview.php?x=1920&amp;y=390&amp;a=true&amp;file=KVRT2020_file.png&amp;t=u7hvnI7wE8mXZWl&amp;scalingup=0" alt="" width="710" height="390" /></p>
<p>Надеюсь, вы сможете что-то придумать, чтобы это обойти, иначе KVRT, будет полезен не во всех случаях. особенно если файлы будут скрытые и имееть аттрибут системный.</p>
<p></p>
<p>Примеров в интернете хватает : https://forum.kasperskyclub.ru/topic/78804-resheno-ne-zapuskaetsja-proverka-na-virusy-v-kvrt/</p>
</blockquote>
<p>Выше обсуждалась малвара - она делала каталог <span>KVRT_Data </span>с урезанными права. Это исправлено. Кейс с файлом не правили, посмотрим что можно сделать. В любом случае всего предусмотреть невозможно, малвара будет находить способы блокировки. Для обхода проблемы пользователю достаточно указать параметр "-d путь" для смены продуктового каталога. Напишем на алерте это подробнее.</p>

Yury.Spravtsev

<p><span style="font-size: 18pt; font-size: 18pt;"><strong>Появился релиз кандидат!</strong></span></p>
<hr />
<p><span>Сборка 20.0.5.0 доступна по ссылке https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.5.0/kvrt.exe</span></p>
<hr />
<p>Обратите внимание, что трассировки выключены. Чтобы их включить нужно запускать с параметром -trace.</p>
<hr />
<p>Из найденных в данном топике проблем исправлены:</p>
<ul>
<li><span>тут тоже нет предупреждения о последующем после обратного отсчета действии</span></li>
<li><span>При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной</span></li>
</ul>
<hr />
<p>Заметное изменение - если русский язык и не установлен антивирус Касперского, то по окончании сканирования предлагается установка KAV.</p>

ANGElDRAGON

<p>@yury-spravtsev said in <a href="/post/12219" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Заметное изменение - если русский язык и не установлен антивирус Касперского, то по окончании сканирования предлагается установка KAV.</blockquote>
<p>А зачем это? Вдруг человек захочет установить другой продукт Лаборатории Касперского?</p>

ANGElDRAGON

<p>Справки до сих пор нет?</p>
<p><img src="https://cdn1.radikalno.ru/uploads/2021/1/22/a087d3fbc906ec4521ef895ac14c2e00-full.png" alt="" width="250" height="167" /></p>
<pre class="language-clike"><code>https://support.kaspersky.ru/kvrt2020?cid=KVRT_20.0&amp;utm_source=interceptor&amp;utm_medium=product&amp;utm_campaign=KVRT_20.0</code></pre>

Dmitry.Vorontsov

<p>@angeldragon said in <a href="/post/12221" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>А зачем это? Вдруг человек захочет установить другой продукт Лаборатории Касперского?</blockquote>
<p>KVRT только предлагает антивирус. Вы можете отказаться.</p>
<p></p>
<p>@angeldragon said in <a href="/post/12222" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Справки до сих пор нет?</blockquote>
<p>Скоро будет</p>

AlexeyK

<blockquote>
<p>по окончании сканирования предлагается установка KAV.</p>
</blockquote>
<p>Предлагается в случаях отсутствия обнаружений, досрочного завершения сканирования, выбора удаления детектированных угроз. Если применяются действия "Скопировать в карантин" или "Пропустить", то окно с предложением не появляется.</p>

ANGElDRAGON

<p>В этой версии "Исследование системы" срезано:</p>
<p><img src="https://b.radikal.ru/b00/2101/aa/ada8e6d52fcd.png" alt="" width="250" height="203" /></p>
<p>В предыдущей было нормально:</p>
<p><img src="https://c.radikal.ru/c11/2012/0c/e1ccba54ad57.png" alt="" width="250" height="223" /></p>

AlexeyK

<p>@yury-spravtsev said in <a href="/post/12219" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Из найденных в данном топике проблем исправлены: тут тоже нет предупреждения о последующем после обратного отсчета действии</blockquote>
<p>В окне с предупреждением все выглядит точно так же, как в прошлых сборках.</p>
<p><img src="https://i1.imageban.ru/out/2021/01/22/6d2dab9fd70f774b25b54a3b8d8bc481.png" alt="" width="314" height="207" /></p>
<hr />
<p>Окно с предложением установки KAV появляется в процессе лечения активного заражения с перезагрузкой.</p>
<p>Шаги воспроизведения: выполнить заражение ОС, запустить сканировние KVRT с настройками по умолчанию, после детектирования выбрать удаление, затем лечение с перезагрузкой.</p>
<p>Актуальный результат: между первичным удалением малвари и запуском первого автоматического сканирования в процессе лечения, когда блокирован проводник, появляется предложение установки KAV. При нажатии кнопки "Продолжить" это окно просто закрывается.</p>
<p>Ожидаемый результат: окно будет появляться после лечения активного заражения.</p>
<p>Видео здесь: <a href="https://cloud.qainfo.ru/s/8zq4XI1B3EmOc6i" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/8zq4XI1B3EmOc6i</a></p>
<p><img src="https://i4.imageban.ru/out/2021/01/22/ade3d57a9409c595e67ef45f7f2fc27c.png" alt="" width="362" height="243" /></p>

Dmitry.Vorontsov

<p>@angeldragon said in <a href="/post/12226" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>В этой версии "Исследование системы" срезано:</blockquote>
<p>Исправим</p>
<p>@alexeyk said in <a href="/post/12230" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Окно с предложением установки KAV появляется в процессе лечения активного заражения с перезагрузкой.</blockquote>
<p>Безобразие. Исправим</p>

AlexeyK

<p>Доброго дня!</p>
<p>А нет ли у разработчиков желания и возможности добавить в стандартную проверку по умолчанию сканирование ранее запущенных в данном сеансе работы системы файлов, но не работающих в данный момент? Продукты домашней линейки (KIS, SaaS и т.п.) при быстром сканировании проверяют такие файлы, причем даже в случае, если при их запуске антивирус не был активен. Проверяются файлы из любого каталога и любого диска. Как точно это происходит - не знаю, наверное считывается информация о запущенных файлах по аналогии с такими утилитами, как ExecutedProgramsList и LastActivityView.</p>
<p>По-моему, очень полезная вещь. KVRT при стандартном скане проверяет некоторые каталоги, а также запущенные процессы. Но если зловред уже отработал и выгрузился, то он может и не детектироваться. Если он запускался с рабочего стола - будет детект, а если из какой-нибудь папки на рабочем столе или с другого логического диска - не будет.</p>
<p>Попался мне стилер, который за несколько секунд делает скриншот, крадет информацию из браузеров (куки, логины, пароли...), архивирует, отправляет хозяину и сразу выгружается. Заметив странное поведение файла, пользователь выполняет проверку KVRT, но утилита может ничего не обнаружить, если не добавить в лист этот файл или не сделать полный скан. Так же, к примеру и с шифраторами: после отработки совсем не факт, что стандартная проверка его обнаружит. А до полного или выборочного сканирования дело может так и не дойти. Кроме того, это может ускорить процесс детекта и устранения угроз, когда вредоносных файлов несколько, но часть из них завершила работу и будет обнаружена уже при полном сканировании в процессе лечения.</p>
<p>В общем, думаю такая доработка смогла бы улучшить детект при сканировании с настройками по умолчанию, не повлияв существенно на общее время проверки.</p>