Тестирование KVRT 2020
-
@alexeyk said in Тестирование KVRT 2020:
Доброго дня!
А нет ли у разработчиков желания и возможности добавить в стандартную проверку по умолчанию сканирование ранее запущенных в данном сеансе работы системы файлов, но не работающих в данный момент? Продукты домашней линейки (KIS, SaaS и т.п.) при быстром сканировании проверяют такие файлы, причем даже в случае, если при их запуске антивирус не был активен. Проверяются файлы из любого каталога и любого диска. Как точно это происходит - не знаю, наверное считывается информация о запущенных файлах по аналогии с такими утилитами, как ExecutedProgramsList и LastActivityView.
По-моему, очень полезная вещь. KVRT при стандартном скане проверяет некоторые каталоги, а также запущенные процессы. Но если зловред уже отработал и выгрузился, то он может и не детектироваться. Если он запускался с рабочего стола - будет детект, а если из какой-нибудь папки на рабочем столе или с другого логического диска - не будет.
Попался мне стилер, который за несколько секунд делает скриншот, крадет информацию из браузеров (куки, логины, пароли...), архивирует, отправляет хозяину и сразу выгружается. Заметив странное поведение файла, пользователь выполняет проверку KVRT, но утилита может ничего не обнаружить, если не добавить в лист этот файл или не сделать полный скан. Так же, к примеру и с шифраторами: после отработки совсем не факт, что стандартная проверка его обнаружит. А до полного или выборочного сканирования дело может так и не дойти. Кроме того, это может ускорить процесс детекта и устранения угроз, когда вредоносных файлов несколько, но часть из них завершила работу и будет обнаружена уже при полном сканировании в процессе лечения.
В общем, думаю такая доработка смогла бы улучшить детект при сканировании с настройками по умолчанию, не повлияв существенно на общее время проверки.
Интересная идея, я думал, что KVRT это уже учитывает.
-
Доброго дня!
А нет ли у разработчиков желания и возможности добавить в стандартную проверку по умолчанию сканирование ранее запущенных в данном сеансе работы системы файлов, но не работающих в данный момент? Продукты домашней линейки (KIS, SaaS и т.п.) при быстром сканировании проверяют такие файлы, причем даже в случае, если при их запуске антивирус не был активен. Проверяются файлы из любого каталога и любого диска. Как точно это происходит - не знаю, наверное считывается информация о запущенных файлах по аналогии с такими утилитами, как ExecutedProgramsList и LastActivityView.
По-моему, очень полезная вещь. KVRT при стандартном скане проверяет некоторые каталоги, а также запущенные процессы. Но если зловред уже отработал и выгрузился, то он может и не детектироваться. Если он запускался с рабочего стола - будет детект, а если из какой-нибудь папки на рабочем столе или с другого логического диска - не будет.
Попался мне стилер, который за несколько секунд делает скриншот, крадет информацию из браузеров (куки, логины, пароли...), архивирует, отправляет хозяину и сразу выгружается. Заметив странное поведение файла, пользователь выполняет проверку KVRT, но утилита может ничего не обнаружить, если не добавить в лист этот файл или не сделать полный скан. Так же, к примеру и с шифраторами: после отработки совсем не факт, что стандартная проверка его обнаружит. А до полного или выборочного сканирования дело может так и не дойти. Кроме того, это может ускорить процесс детекта и устранения угроз, когда вредоносных файлов несколько, но часть из них завершила работу и будет обнаружена уже при полном сканировании в процессе лечения.
В общем, думаю такая доработка смогла бы улучшить детект при сканировании с настройками по умолчанию, не повлияв существенно на общее время проверки.
-
@angeldragon said in Тестирование KVRT 2020:
В этой версии "Исследование системы" срезано:
Исправим
@alexeyk said in Тестирование KVRT 2020:
Окно с предложением установки KAV появляется в процессе лечения активного заражения с перезагрузкой.
Безобразие. Исправим
-
@yury-spravtsev said in Тестирование KVRT 2020:
Из найденных в данном топике проблем исправлены: тут тоже нет предупреждения о последующем после обратного отсчета действии
В окне с предупреждением все выглядит точно так же, как в прошлых сборках.
Окно с предложением установки KAV появляется в процессе лечения активного заражения с перезагрузкой.
Шаги воспроизведения: выполнить заражение ОС, запустить сканировние KVRT с настройками по умолчанию, после детектирования выбрать удаление, затем лечение с перезагрузкой.
Актуальный результат: между первичным удалением малвари и запуском первого автоматического сканирования в процессе лечения, когда блокирован проводник, появляется предложение установки KAV. При нажатии кнопки "Продолжить" это окно просто закрывается.
Ожидаемый результат: окно будет появляться после лечения активного заражения.
Видео здесь: https://cloud.qainfo.ru/s/8zq4XI1B3EmOc6i
-
-
по окончании сканирования предлагается установка KAV.
Предлагается в случаях отсутствия обнаружений, досрочного завершения сканирования, выбора удаления детектированных угроз. Если применяются действия "Скопировать в карантин" или "Пропустить", то окно с предложением не появляется.
-
@angeldragon said in Тестирование KVRT 2020:
А зачем это? Вдруг человек захочет установить другой продукт Лаборатории Касперского?
KVRT только предлагает антивирус. Вы можете отказаться.
@angeldragon said in Тестирование KVRT 2020:
Справки до сих пор нет?
Скоро будет
-
-
@yury-spravtsev said in Тестирование KVRT 2020:
Заметное изменение - если русский язык и не установлен антивирус Касперского, то по окончании сканирования предлагается установка KAV.
А зачем это? Вдруг человек захочет установить другой продукт Лаборатории Касперского?
-
Появился релиз кандидат!
Сборка 20.0.5.0 доступна по ссылке https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.5.0/kvrt.exe
Обратите внимание, что трассировки выключены. Чтобы их включить нужно запускать с параметром -trace.
Из найденных в данном топике проблем исправлены:
- тут тоже нет предупреждения о последующем после обратного отсчета действии
- При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной
Заметное изменение - если русский язык и не установлен антивирус Касперского, то по окончании сканирования предлагается установка KAV.
-
@sq said in Тестирование KVRT 2020:
Если создать файлы "KVRT_Data" и "KVRT2020_Data", то версия 2015 запускается, однако сканировани не работает. В случае 2020 выдается ошибка, что не может создаться каталог.Этой фичей уже давно пользуются злоумышлиники с майнерами, что не дает пользователям использовать различные продукты для сканирования, например KVRT.
Надеюсь, вы сможете что-то придумать, чтобы это обойти, иначе KVRT, будет полезен не во всех случаях. особенно если файлы будут скрытые и имееть аттрибут системный.
Примеров в интернете хватает : https://forum.kasperskyclub.ru/topic/78804-resheno-ne-zapuskaetsja-proverka-na-virusy-v-kvrt/
Выше обсуждалась малвара - она делала каталог KVRT_Data с урезанными права. Это исправлено. Кейс с файлом не правили, посмотрим что можно сделать. В любом случае всего предусмотреть невозможно, малвара будет находить способы блокировки. Для обхода проблемы пользователю достаточно указать параметр "-d путь" для смены продуктового каталога. Напишем на алерте это подробнее.
-
@sq said in Тестирование KVRT 2020:
Я запустил одновременно KVRT2020 и KVRT2015. Заметил, что в 2015 версии кнопка close не активна во время сканирования, а в 2020 версии активная, т.е. я могу закрыть в любой момент.
Также в 15 версии указано в результате, что вредононое ПО не найдено, а в 20 что сканирование завершено.По мне информативней было бы, если было бы указано что вредоносное ПО не найдено.
Спасибо, обсудим как лучше сделать.
@sq said in Тестирование KVRT 2020:
При этом 2015 версия завершила сканирование быстрее и на 4 файла в отчете больше.
Это нормально. Время и число файлов постоянно меняется, т.к. постоянно запускаются/завершаются фоновые процессы.
-
@sq said in Тестирование KVRT 2020:
Если создать файлы "KVRT_Data" и "KVRT2020_Data", то версия 2015 запускается, однако сканировани не работает. В случае 2020 выдается ошибка, что не может создаться каталог.Этой фичей уже давно пользуются злоумышлиники с майнерами, что не дает пользователям использовать различные продукты для сканирования, например KVRT.
Надеюсь, вы сможете что-то придумать, чтобы это обойти, иначе KVRT, будет полезен не во всех случаях. особенно если файлы будут скрытые и имееть аттрибут системный.
Примеров в интернете хватает : https://forum.kasperskyclub.ru/topic/78804-resheno-ne-zapuskaetsja-proverka-na-virusy-v-kvrt/
Это давно обещали поправить @Yury.Spravtsev, видно забыли
-
Если создать файлы "KVRT_Data" и "KVRT2020_Data", то версия 2015 запускается, однако сканировани не работает. В случае 2020 выдается ошибка, что не может создаться каталог.Этой фичей уже давно пользуются злоумышлиники с майнерами, что не дает пользователям использовать различные продукты для сканирования, например KVRT.
Надеюсь, вы сможете что-то придумать, чтобы это обойти, иначе KVRT, будет полезен не во всех случаях. особенно если файлы будут скрытые и имееть аттрибут системный.
Примеров в интернете хватает : https://forum.kasperskyclub.ru/topic/78804-resheno-ne-zapuskaetsja-proverka-na-virusy-v-kvrt/
-
Я запустил одновременно KVRT2020 и KVRT2015. Заметил, что в 2015 версии кнопка close не активна во время сканирования, а в 2020 версии активная, т.е. я могу закрыть в любой момент.
При этом 2015 версия завершила сканирование быстрее и на 4 файла в отчете больше.
Также в 15 версии указано в результате, что вредононое ПО не найдено, а в 20 что сканирование завершено.По мне информативней было бы, если было бы указано что вредоносное ПО не найдено.
Трейсы : https://cloud.qainfo.ru/s/xnpKa3kZ6EJfUFP
-
-
@dmitry-vorontsov said in Тестирование KVRT 2020:
@alexeyk said in Тестирование KVRT 2020:
У меня и на предыдущей версии так было, папка не удаляется, пока не перезагрузишь систему. Причина, как я понимаю, в драйвере в папке Temp. После рестарта ОС он удаляется, тогда можно и папку удалить.
Да, вы правы. На Windows 10 файл загруженного драйвера не может быть удален. Выключение компьютера обычно выполняет гибернацию системы, а не "честное" выключение. При выходе из гибернации все загруженные до гибернации драйвера остаются в памяти. Поэтому Вам не удалось удалить KVRT2020_Data после выключения. А вот перезагрузка - это "честное" выключение.
Думаю, это нужно где-то в справке KVRT указать, сейчас ведь мало кто перезагружает систему, больше: выключил и включил.
-
@dmitry-vorontsov За время тестов на детектирование зловредов и лечение зараженной системы никаких проблем с работой KVRT обнаружено не было. Лечение с несколькими перезапусками выполняет, файлы детектирует, удаляет, лечит, восстановление из карантина работает, все действия выполняет согласно настройкам. Однако, после работы зловредов лечение может быть масштабным и длительным, что затрудняет полную оценку результата.
В связи с этим, может у Вас будут какие-то идеи, куда следует обратить особое внимание? Где могут встретиться "болевые точки" в работе продукта? Если таковые имеются - расскажите, буду изучать это в первую очередь.
-
@alexeyk said in Тестирование KVRT 2020:
У меня и на предыдущей версии так было, папка не удаляется, пока не перезагрузишь систему. Причина, как я понимаю, в драйвере в папке Temp. После рестарта ОС он удаляется, тогда можно и папку удалить.
Да, вы правы. На Windows 10 файл загруженного драйвера не может быть удален. Выключение компьютера обычно выполняет гибернацию системы, а не "честное" выключение. При выходе из гибернации все загруженные до гибернации драйвера остаются в памяти. Поэтому Вам не удалось удалить KVRT2020_Data после выключения. А вот перезагрузка - это "честное" выключение.
