Тестирование KVRT 2020


  • , last edited by Yury.Spravtsev

    @sq said in Тестирование KVRT 2020:

    Я запустил одновременно KVRT2020 и KVRT2015. Заметил, что в 2015 версии кнопка close не активна во время сканирования, а в 2020 версии активная, т.е. я могу закрыть в любой момент.

    Также в 15 версии указано в результате, что вредононое ПО не найдено, а в 20 что сканирование завершено.По мне информативней было бы, если было бы указано что вредоносное ПО не найдено.

    Спасибо, обсудим как лучше сделать.

    @sq said in Тестирование KVRT 2020:

    При этом 2015 версия завершила сканирование быстрее и на 4 файла в отчете больше.

    Это нормально. Время и число файлов постоянно меняется, т.к. постоянно запускаются/завершаются фоновые процессы.

  • , last edited by Yury.Spravtsev

    @sq said in Тестирование KVRT 2020:

    Если создать файлы "KVRT_Data" и "KVRT2020_Data", то версия 2015 запускается, однако сканировани не работает. В случае 2020 выдается ошибка, что не может создаться каталог.Этой фичей уже давно пользуются злоумышлиники с майнерами, что не дает пользователям использовать различные продукты для сканирования, например KVRT.

    Надеюсь, вы сможете что-то придумать, чтобы это обойти, иначе KVRT, будет полезен не во всех случаях. особенно если файлы будут скрытые и имееть аттрибут системный.

    Примеров в интернете хватает : https://forum.kasperskyclub.ru/topic/78804-resheno-ne-zapuskaetsja-proverka-na-virusy-v-kvrt/

    Выше обсуждалась малвара - она делала каталог KVRT_Data с урезанными права. Это исправлено. Кейс с файлом не правили, посмотрим что можно сделать. В любом случае всего предусмотреть невозможно, малвара будет находить способы блокировки. Для обхода проблемы пользователю достаточно указать параметр "-d путь" для смены продуктового каталога. Напишем на алерте это подробнее.

  • , last edited by Yury.Spravtsev

    Появился релиз кандидат!


    Сборка 20.0.5.0 доступна по ссылке https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.5.0/kvrt.exe


    Обратите внимание, что трассировки выключены. Чтобы их включить нужно запускать с параметром -trace.


    Из найденных в данном топике проблем исправлены:

    • тут тоже нет предупреждения о последующем после обратного отсчета действии
    • При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной

    Заметное изменение - если русский язык и не установлен антивирус Касперского, то по окончании сканирования предлагается установка KAV.

  • @yury-spravtsev said in Тестирование KVRT 2020:

    Заметное изменение - если русский язык и не установлен антивирус Касперского, то по окончании сканирования предлагается установка KAV.

    А зачем это? Вдруг человек захочет установить другой продукт Лаборатории Касперского?

  • Справки до сих пор нет?

    https://support.kaspersky.ru/kvrt2020?cid=KVRT_20.0&utm_source=interceptor&utm_medium=product&utm_campaign=KVRT_20.0
  • , last edited by Dmitry.Vorontsov

    @angeldragon said in Тестирование KVRT 2020:

    А зачем это? Вдруг человек захочет установить другой продукт Лаборатории Касперского?

    KVRT только предлагает антивирус. Вы можете отказаться.

    @angeldragon said in Тестирование KVRT 2020:

    Справки до сих пор нет?

    Скоро будет

  • по окончании сканирования предлагается установка KAV.

    Предлагается в случаях отсутствия обнаружений, досрочного завершения сканирования, выбора удаления детектированных угроз. Если применяются действия "Скопировать в карантин" или "Пропустить", то окно с предложением не появляется.

  • В этой версии "Исследование системы" срезано:

    В предыдущей было нормально:

  • , last edited by AlexeyK

    @yury-spravtsev said in Тестирование KVRT 2020:

    Из найденных в данном топике проблем исправлены: тут тоже нет предупреждения о последующем после обратного отсчета действии

    В окне с предупреждением все выглядит точно так же, как в прошлых сборках.


    Окно с предложением установки KAV появляется в процессе лечения активного заражения с перезагрузкой.

    Шаги воспроизведения: выполнить заражение ОС, запустить сканировние KVRT с настройками по умолчанию, после детектирования выбрать удаление, затем лечение с перезагрузкой.

    Актуальный результат: между первичным удалением малвари и запуском первого автоматического сканирования в процессе лечения, когда блокирован проводник, появляется предложение установки KAV. При нажатии кнопки "Продолжить" это окно просто закрывается.

    Ожидаемый результат: окно будет появляться после лечения активного заражения.

    Видео здесь: https://cloud.qainfo.ru/s/8zq4XI1B3EmOc6i

  • , last edited by Dmitry.Vorontsov

    @angeldragon said in Тестирование KVRT 2020:

    В этой версии "Исследование системы" срезано:

    Исправим

    @alexeyk said in Тестирование KVRT 2020:

    Окно с предложением установки KAV появляется в процессе лечения активного заражения с перезагрузкой.

    Безобразие. Исправим

  • , last edited by AlexeyK

    Доброго дня!

    А нет ли у разработчиков желания и возможности добавить в стандартную проверку по умолчанию сканирование ранее запущенных в данном сеансе работы системы файлов, но не работающих в данный момент? Продукты домашней линейки (KIS, SaaS и т.п.) при быстром сканировании проверяют такие файлы, причем даже в случае, если при их запуске антивирус не был активен. Проверяются файлы из любого каталога и любого диска. Как точно это происходит - не знаю, наверное считывается информация о запущенных файлах по аналогии с такими утилитами, как ExecutedProgramsList и LastActivityView.

    По-моему, очень полезная вещь. KVRT при стандартном скане проверяет некоторые каталоги, а также запущенные процессы. Но если зловред уже отработал и выгрузился, то он может и не детектироваться. Если он запускался с рабочего стола - будет детект, а если из какой-нибудь папки на рабочем столе или с другого логического диска - не будет.

    Попался мне стилер, который за несколько секунд делает скриншот, крадет информацию из браузеров (куки, логины, пароли...), архивирует, отправляет хозяину и сразу выгружается. Заметив странное поведение файла, пользователь выполняет проверку KVRT, но утилита может ничего не обнаружить, если не добавить в лист этот файл или не сделать полный скан. Так же, к примеру и с шифраторами: после отработки совсем не факт, что стандартная проверка его обнаружит. А до полного или выборочного сканирования дело может так и не дойти. Кроме того, это может ускорить процесс детекта и устранения угроз, когда вредоносных файлов несколько, но часть из них завершила работу и будет обнаружена уже при полном сканировании в процессе лечения.

    В общем, думаю такая доработка смогла бы улучшить детект при сканировании с настройками по умолчанию, не повлияв существенно на общее время проверки.

  • @alexeyk said in Тестирование KVRT 2020:

    Доброго дня!

    А нет ли у разработчиков желания и возможности добавить в стандартную проверку по умолчанию сканирование ранее запущенных в данном сеансе работы системы файлов, но не работающих в данный момент? Продукты домашней линейки (KIS, SaaS и т.п.) при быстром сканировании проверяют такие файлы, причем даже в случае, если при их запуске антивирус не был активен. Проверяются файлы из любого каталога и любого диска. Как точно это происходит - не знаю, наверное считывается информация о запущенных файлах по аналогии с такими утилитами, как ExecutedProgramsList и LastActivityView.

    По-моему, очень полезная вещь. KVRT при стандартном скане проверяет некоторые каталоги, а также запущенные процессы. Но если зловред уже отработал и выгрузился, то он может и не детектироваться. Если он запускался с рабочего стола - будет детект, а если из какой-нибудь папки на рабочем столе или с другого логического диска - не будет.

    Попался мне стилер, который за несколько секунд делает скриншот, крадет информацию из браузеров (куки, логины, пароли...), архивирует, отправляет хозяину и сразу выгружается. Заметив странное поведение файла, пользователь выполняет проверку KVRT, но утилита может ничего не обнаружить, если не добавить в лист этот файл или не сделать полный скан. Так же, к примеру и с шифраторами: после отработки совсем не факт, что стандартная проверка его обнаружит. А до полного или выборочного сканирования дело может так и не дойти. Кроме того, это может ускорить процесс детекта и устранения угроз, когда вредоносных файлов несколько, но часть из них завершила работу и будет обнаружена уже при полном сканировании в процессе лечения.

    В общем, думаю такая доработка смогла бы улучшить детект при сканировании с настройками по умолчанию, не повлияв существенно на общее время проверки.

    Интересная идея, я думал, что KVRT это уже учитывает.

  • @angeldragon said in Тестирование KVRT 2020:

    Интересная идея, я думал, что KVRT это уже учитывает.

    Идея отличная, но не моя, а подсмотренная из работы продуктов домашней линейки. smile Нет, не учитывает, к сожалению. 

    Еще придумал такой пример. В систему установился скрытый майнер. Пользователь видит нагрузку по ДЗ, завершает процесс, чтобы освободить ресурсы, затем сканирует KVRT, а детекта может не быть из-за расположения файла вне сканируемых по умолчанию каталогов. Так как каталог майнера неизвестен - нужен полный скан всех дисков. А можно было обойтись быстрым сканированием.

  • Во первых, KVRT по умолчанию проверяет объекты автозапуска. Если майнер или стилер прописан в автозагрузке, KVRT его найдет и проверит.

    Во вторых, KVRT - это не домашний антивирус. Его возможности естественно проигрывают возможностям домашнего продукта. Если KVRT будет  искать список запущенных в течении текущей сессии файлов - это получиться кривая функция, которая будет работать не стабильно и не предсказуемо. Что мешает стилеру после выполнения своих задач удалить свои исполняемые файлы с компьютера пользователя?

    Зловреды могут очищать списки которые показывают ExecutedProgramsList и LastActivityView.

    Зловреды (тот же упомянутый стилер) могу в конце своей работы перегрузиться машину.

    Вы уверены, что все запускаемые программы попадают в этот список? И все DLL ? И bat, cmd и PowerShell скрипты?

  • @dmitry-vorontsov

    Лучше я не буду углубляться в разговоры и приведу такой пример. Скриншот ниже.

    Все просто: я выгрузил KTS, взял три зловреда, поместил их в папку Test на рабочем столе и по очереди запустил. Вполне себе типичная ситуация. После непродолжительной работы все эти семплы самостоятельно быстро выгружаются. Затем я запустил KTS, который, напомню, с этими файлами не знаком, и запустил быстрое сканирование. Были найдены все три файла в папке с рабочего стола и еще два в AppData.

    Однако результат рекомендуемого сканирования KVRT сильно отличается: обнаружен только один объект в AppData. А если бы его там не было или он еще не детектировался бы (в данном случае облаком) - результат был бы "угроз не обнаружено".

    Причем, если просто положить эти файлы в папку на рабочий стол и выполнить быстрое сканирование, то KTS их не обнаружит.

    Налицо очевидное преимущество: зловреды сразу детектируются независимо от их активности и каталога запуска. Не знаю, что же мешает добавить в KVRT аналогичную возможность определять недавно запущенные файлы. Может есть какая-то серьезная особенность в работе? Может не хватает каких-то прав доступа?

    Однако замечу, что информацию KTS берет не аналогично указанным мной ранее утилитам, у него какой-то другой способ, о котором мне неизвестно. Утилиты запуски этих файлов не регистрируют.

  • , last edited by ANGElDRAGON

    @dmitry-vorontsov я так понимаю, KVRT до сих пор не научился лечить результаты майнера?Раздел просто кишит темами не получается установить Kaspersky

    P.S. Шапку можно поправить,  трассировки по умолчанию отключены.

  • @angeldragon said in Тестирование KVRT 2020:

    я так понимаю, KVRT до сих пор не научился лечить результаты майнера?

    Да, пока не научился. Я не могу повлиять на скорость решения этой проблемы.

  • @dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения? Или это входит в -silent?

    @alexeyk said in Тестирование KVRT 2020:

    Я уже отправил информацию по данному инциденту.

    Что-то сообщила команда разработки MR3? Не нашел тему с багой здесь.

  • @angeldragon said in Тестирование KVRT 2020:

    @dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения?

    -noads

  • @angeldragon Нет, не сообщила. И судя по всему, в MR3 решения ждать не стоит. Тему на форуме не создавал, отправил по другому каналу.



Looks like your connection to Beta Testing was lost, please wait while we try to reconnect.