Тестирование KVRT 2020


  • , last edited by SQ

    Я запустил одновременно KVRT2020 и KVRT2015. Заметил, что в 2015 версии кнопка close не активна во время сканирования, а в 2020 версии активная, т.е. я могу закрыть в любой момент.

    При этом 2015 версия завершила сканирование быстрее и на 4 файла в отчете больше.

    Также в 15 версии указано в результате, что вредононое ПО не найдено, а в 20 что сканирование завершено.По мне информативней было бы, если было бы указано что вредоносное ПО не найдено.

    Трейсы : https://cloud.qainfo.ru/s/xnpKa3kZ6EJfUFP

  • , last edited by SQ

    Если в безопасном режиме попытаться запустить две версии продукта одновременно, то 2020 версия продукта падает.

     

    Трейсы: https://cloud.qainfo.ru/s/sX3GjL0j4VNvxZn

  • , last edited by SQ

    Если создать файлы "KVRT_Data" и "KVRT2020_Data", то версия 2015 запускается, однако сканировани не работает. В случае 2020 выдается ошибка, что не может создаться каталог.Этой фичей уже давно пользуются злоумышлиники с майнерами, что не дает пользователям использовать различные продукты для сканирования, например KVRT.

    Надеюсь, вы сможете что-то придумать, чтобы это обойти, иначе KVRT, будет полезен не во всех случаях. особенно если файлы будут скрытые и имееть аттрибут системный.

    Примеров в интернете хватает : https://forum.kasperskyclub.ru/topic/78804-resheno-ne-zapuskaetsja-proverka-na-virusy-v-kvrt/

  • @sq said in Тестирование KVRT 2020:

    Если создать файлы "KVRT_Data" и "KVRT2020_Data", то версия 2015 запускается, однако сканировани не работает. В случае 2020 выдается ошибка, что не может создаться каталог.Этой фичей уже давно пользуются злоумышлиники с майнерами, что не дает пользователям использовать различные продукты для сканирования, например KVRT.

    Надеюсь, вы сможете что-то придумать, чтобы это обойти, иначе KVRT, будет полезен не во всех случаях. особенно если файлы будут скрытые и имееть аттрибут системный.

    Примеров в интернете хватает : https://forum.kasperskyclub.ru/topic/78804-resheno-ne-zapuskaetsja-proverka-na-virusy-v-kvrt/

    Это давно обещали поправить @Yury.Spravtsev, видно забыли frown

  • , last edited by Yury.Spravtsev

    @sq said in Тестирование KVRT 2020:

    Я запустил одновременно KVRT2020 и KVRT2015. Заметил, что в 2015 версии кнопка close не активна во время сканирования, а в 2020 версии активная, т.е. я могу закрыть в любой момент.

    Также в 15 версии указано в результате, что вредононое ПО не найдено, а в 20 что сканирование завершено.По мне информативней было бы, если было бы указано что вредоносное ПО не найдено.

    Спасибо, обсудим как лучше сделать.

    @sq said in Тестирование KVRT 2020:

    При этом 2015 версия завершила сканирование быстрее и на 4 файла в отчете больше.

    Это нормально. Время и число файлов постоянно меняется, т.к. постоянно запускаются/завершаются фоновые процессы.

  • , last edited by Yury.Spravtsev

    @sq said in Тестирование KVRT 2020:

    Если создать файлы "KVRT_Data" и "KVRT2020_Data", то версия 2015 запускается, однако сканировани не работает. В случае 2020 выдается ошибка, что не может создаться каталог.Этой фичей уже давно пользуются злоумышлиники с майнерами, что не дает пользователям использовать различные продукты для сканирования, например KVRT.

    Надеюсь, вы сможете что-то придумать, чтобы это обойти, иначе KVRT, будет полезен не во всех случаях. особенно если файлы будут скрытые и имееть аттрибут системный.

    Примеров в интернете хватает : https://forum.kasperskyclub.ru/topic/78804-resheno-ne-zapuskaetsja-proverka-na-virusy-v-kvrt/

    Выше обсуждалась малвара - она делала каталог KVRT_Data с урезанными права. Это исправлено. Кейс с файлом не правили, посмотрим что можно сделать. В любом случае всего предусмотреть невозможно, малвара будет находить способы блокировки. Для обхода проблемы пользователю достаточно указать параметр "-d путь" для смены продуктового каталога. Напишем на алерте это подробнее.

  • , last edited by Yury.Spravtsev

    Появился релиз кандидат!


    Сборка 20.0.5.0 доступна по ссылке https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.5.0/kvrt.exe


    Обратите внимание, что трассировки выключены. Чтобы их включить нужно запускать с параметром -trace.


    Из найденных в данном топике проблем исправлены:

    • тут тоже нет предупреждения о последующем после обратного отсчета действии
    • При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной

    Заметное изменение - если русский язык и не установлен антивирус Касперского, то по окончании сканирования предлагается установка KAV.

  • @yury-spravtsev said in Тестирование KVRT 2020:

    Заметное изменение - если русский язык и не установлен антивирус Касперского, то по окончании сканирования предлагается установка KAV.

    А зачем это? Вдруг человек захочет установить другой продукт Лаборатории Касперского?

  • Справки до сих пор нет?

    https://support.kaspersky.ru/kvrt2020?cid=KVRT_20.0&utm_source=interceptor&utm_medium=product&utm_campaign=KVRT_20.0
  • , last edited by Dmitry.Vorontsov

    @angeldragon said in Тестирование KVRT 2020:

    А зачем это? Вдруг человек захочет установить другой продукт Лаборатории Касперского?

    KVRT только предлагает антивирус. Вы можете отказаться.

    @angeldragon said in Тестирование KVRT 2020:

    Справки до сих пор нет?

    Скоро будет

  • по окончании сканирования предлагается установка KAV.

    Предлагается в случаях отсутствия обнаружений, досрочного завершения сканирования, выбора удаления детектированных угроз. Если применяются действия "Скопировать в карантин" или "Пропустить", то окно с предложением не появляется.

  • В этой версии "Исследование системы" срезано:

    В предыдущей было нормально:

  • , last edited by AlexeyK

    @yury-spravtsev said in Тестирование KVRT 2020:

    Из найденных в данном топике проблем исправлены: тут тоже нет предупреждения о последующем после обратного отсчета действии

    В окне с предупреждением все выглядит точно так же, как в прошлых сборках.


    Окно с предложением установки KAV появляется в процессе лечения активного заражения с перезагрузкой.

    Шаги воспроизведения: выполнить заражение ОС, запустить сканировние KVRT с настройками по умолчанию, после детектирования выбрать удаление, затем лечение с перезагрузкой.

    Актуальный результат: между первичным удалением малвари и запуском первого автоматического сканирования в процессе лечения, когда блокирован проводник, появляется предложение установки KAV. При нажатии кнопки "Продолжить" это окно просто закрывается.

    Ожидаемый результат: окно будет появляться после лечения активного заражения.

    Видео здесь: https://cloud.qainfo.ru/s/8zq4XI1B3EmOc6i

  • , last edited by Dmitry.Vorontsov

    @angeldragon said in Тестирование KVRT 2020:

    В этой версии "Исследование системы" срезано:

    Исправим

    @alexeyk said in Тестирование KVRT 2020:

    Окно с предложением установки KAV появляется в процессе лечения активного заражения с перезагрузкой.

    Безобразие. Исправим

  • , last edited by AlexeyK

    Доброго дня!

    А нет ли у разработчиков желания и возможности добавить в стандартную проверку по умолчанию сканирование ранее запущенных в данном сеансе работы системы файлов, но не работающих в данный момент? Продукты домашней линейки (KIS, SaaS и т.п.) при быстром сканировании проверяют такие файлы, причем даже в случае, если при их запуске антивирус не был активен. Проверяются файлы из любого каталога и любого диска. Как точно это происходит - не знаю, наверное считывается информация о запущенных файлах по аналогии с такими утилитами, как ExecutedProgramsList и LastActivityView.

    По-моему, очень полезная вещь. KVRT при стандартном скане проверяет некоторые каталоги, а также запущенные процессы. Но если зловред уже отработал и выгрузился, то он может и не детектироваться. Если он запускался с рабочего стола - будет детект, а если из какой-нибудь папки на рабочем столе или с другого логического диска - не будет.

    Попался мне стилер, который за несколько секунд делает скриншот, крадет информацию из браузеров (куки, логины, пароли...), архивирует, отправляет хозяину и сразу выгружается. Заметив странное поведение файла, пользователь выполняет проверку KVRT, но утилита может ничего не обнаружить, если не добавить в лист этот файл или не сделать полный скан. Так же, к примеру и с шифраторами: после отработки совсем не факт, что стандартная проверка его обнаружит. А до полного или выборочного сканирования дело может так и не дойти. Кроме того, это может ускорить процесс детекта и устранения угроз, когда вредоносных файлов несколько, но часть из них завершила работу и будет обнаружена уже при полном сканировании в процессе лечения.

    В общем, думаю такая доработка смогла бы улучшить детект при сканировании с настройками по умолчанию, не повлияв существенно на общее время проверки.

  • @alexeyk said in Тестирование KVRT 2020:

    Доброго дня!

    А нет ли у разработчиков желания и возможности добавить в стандартную проверку по умолчанию сканирование ранее запущенных в данном сеансе работы системы файлов, но не работающих в данный момент? Продукты домашней линейки (KIS, SaaS и т.п.) при быстром сканировании проверяют такие файлы, причем даже в случае, если при их запуске антивирус не был активен. Проверяются файлы из любого каталога и любого диска. Как точно это происходит - не знаю, наверное считывается информация о запущенных файлах по аналогии с такими утилитами, как ExecutedProgramsList и LastActivityView.

    По-моему, очень полезная вещь. KVRT при стандартном скане проверяет некоторые каталоги, а также запущенные процессы. Но если зловред уже отработал и выгрузился, то он может и не детектироваться. Если он запускался с рабочего стола - будет детект, а если из какой-нибудь папки на рабочем столе или с другого логического диска - не будет.

    Попался мне стилер, который за несколько секунд делает скриншот, крадет информацию из браузеров (куки, логины, пароли...), архивирует, отправляет хозяину и сразу выгружается. Заметив странное поведение файла, пользователь выполняет проверку KVRT, но утилита может ничего не обнаружить, если не добавить в лист этот файл или не сделать полный скан. Так же, к примеру и с шифраторами: после отработки совсем не факт, что стандартная проверка его обнаружит. А до полного или выборочного сканирования дело может так и не дойти. Кроме того, это может ускорить процесс детекта и устранения угроз, когда вредоносных файлов несколько, но часть из них завершила работу и будет обнаружена уже при полном сканировании в процессе лечения.

    В общем, думаю такая доработка смогла бы улучшить детект при сканировании с настройками по умолчанию, не повлияв существенно на общее время проверки.

    Интересная идея, я думал, что KVRT это уже учитывает.

  • @angeldragon said in Тестирование KVRT 2020:

    Интересная идея, я думал, что KVRT это уже учитывает.

    Идея отличная, но не моя, а подсмотренная из работы продуктов домашней линейки. smile Нет, не учитывает, к сожалению. 

    Еще придумал такой пример. В систему установился скрытый майнер. Пользователь видит нагрузку по ДЗ, завершает процесс, чтобы освободить ресурсы, затем сканирует KVRT, а детекта может не быть из-за расположения файла вне сканируемых по умолчанию каталогов. Так как каталог майнера неизвестен - нужен полный скан всех дисков. А можно было обойтись быстрым сканированием.

  • Во первых, KVRT по умолчанию проверяет объекты автозапуска. Если майнер или стилер прописан в автозагрузке, KVRT его найдет и проверит.

    Во вторых, KVRT - это не домашний антивирус. Его возможности естественно проигрывают возможностям домашнего продукта. Если KVRT будет  искать список запущенных в течении текущей сессии файлов - это получиться кривая функция, которая будет работать не стабильно и не предсказуемо. Что мешает стилеру после выполнения своих задач удалить свои исполняемые файлы с компьютера пользователя?

    Зловреды могут очищать списки которые показывают ExecutedProgramsList и LastActivityView.

    Зловреды (тот же упомянутый стилер) могу в конце своей работы перегрузиться машину.

    Вы уверены, что все запускаемые программы попадают в этот список? И все DLL ? И bat, cmd и PowerShell скрипты?

  • @dmitry-vorontsov

    Лучше я не буду углубляться в разговоры и приведу такой пример. Скриншот ниже.

    Все просто: я выгрузил KTS, взял три зловреда, поместил их в папку Test на рабочем столе и по очереди запустил. Вполне себе типичная ситуация. После непродолжительной работы все эти семплы самостоятельно быстро выгружаются. Затем я запустил KTS, который, напомню, с этими файлами не знаком, и запустил быстрое сканирование. Были найдены все три файла в папке с рабочего стола и еще два в AppData.

    Однако результат рекомендуемого сканирования KVRT сильно отличается: обнаружен только один объект в AppData. А если бы его там не было или он еще не детектировался бы (в данном случае облаком) - результат был бы "угроз не обнаружено".

    Причем, если просто положить эти файлы в папку на рабочий стол и выполнить быстрое сканирование, то KTS их не обнаружит.

    Налицо очевидное преимущество: зловреды сразу детектируются независимо от их активности и каталога запуска. Не знаю, что же мешает добавить в KVRT аналогичную возможность определять недавно запущенные файлы. Может есть какая-то серьезная особенность в работе? Может не хватает каких-то прав доступа?

    Однако замечу, что информацию KTS берет не аналогично указанным мной ранее утилитам, у него какой-то другой способ, о котором мне неизвестно. Утилиты запуски этих файлов не регистрируют.

  • , last edited by ANGElDRAGON

    @dmitry-vorontsov я так понимаю, KVRT до сих пор не научился лечить результаты майнера?Раздел просто кишит темами не получается установить Kaspersky

    P.S. Шапку можно поправить,  трассировки по умолчанию отключены.



Looks like your connection to Beta Testing was lost, please wait while we try to reconnect.