Jump to content
Demiad

Описание задачи Проверка целостности [1270196] [Fixed]

Recommended Posts

Хотел проверить работу задачи "Проверка целостности", но не нашёл описания что она делает. В документации на SP1 информации нет:

http://docs.kaspersky-labs.com/russian/kes...wksfswin_ru.pdf

В Справке интерфейса беты тоже.

 

Если погуглить, то выяснится, что задача "Проверка целостности програмных модулей" была ещё в KAV6. Вопрос почему тогда на KES 10.2.1.23 я её не вижу?

 

Подменять подпись исполняемых файлов KES я не буду, а проверить банальную подмену файлов в папке программы и их полное удаление сделал, задача никаких проблем не находит.

Share this post


Link to post

Здравствуйте,

 

Пожалуйста, соберите трассировки при запуске задачи проверки целостности.

 

Спасибо!

Share this post


Link to post

Если выключить самозащиту у KES и от администратора выполнить удаление всего возможного в папке KL в PF, то и задача уже запуститься уже не может:

rmdir /s /q "C:\Program Files\Kaspersky Lab\"

KES приобретает интерфейс без картинок, задача проверки целостности не может запуститься:

post-454289-1443041444_thumb.png

В её отчёте появится запись: "23.09.2015 23:48:48 Не удалось выполнить задачу Kaspersky Endpoint Security 10 для Windows - Бета PC\User Невозможно запустить задачу"

 

После перезагрузки никакого KES на ПК можно считать уже нет, не стартует, есть только avpsus.exe на задаче.

 

 

Отсюда становится ясно, что задача за работоспособностью АВ не следит, а только проверяет не подменён ли какой-либо исполняемый файл компонентов АВ на поддельный по подписи.

 

Если сможете сказать больше, то вот всё-таки трассировка:

До включения трассировки предварительно в каталоге

C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP1\

device_control.dll - удалил

dns_client.dll - заменил оригинальный файл на левую VMware'кую dll'ку.

 

Заодно для проверки следит ли задача за целостностью AES, в каталоге:

C:\Program Files\Kaspersky Lab\AES Encryption Module\

cm_i13_a.dll - удалил

crypto_provider.dll - заменил оригинальный файл на левую VMware'кую dll'ку, оригинальный т.к. был занят смог только переименовать в имя "asdasd" без расширения.

 

Включил трассировку. Запустил задачу, получил лишь одно предупреждение про "device_control.dll" и без конкретики, что файла вовсе нет:

post-454289-1443043165_thumb.png

 

Трассировка, гси, евенты, скрины:

ftp://Demiad1@data8.kaspersky-labs.com/t3..._2015-09-24.rar

Share this post


Link to post
Если выключить самозащиту у KES и от администратора выполнить удаление всего возможного в папке KL в PF, то и задача уже запуститься уже не может:

rmdir /s /q "C:\Program Files\Kaspersky Lab\"

KES приобретает интерфейс без картинок, задача проверки целостности не может запуститься:

kill.png

В её отчёте появится запись: "23.09.2015 23:48:48 Не удалось выполнить задачу Kaspersky Endpoint Security 10 для Windows - Бета PC\User Невозможно запустить задачу"

 

После перезагрузки никакого KES на ПК можно считать уже нет, не стартует, есть только avpsus.exe на задаче.

Отсюда становится ясно, что задача за работоспособностью АВ не следит, а только проверяет не подменён ли какой-либо исполняемый файл компонентов АВ на поддельный по подписи.

 

Если сможете сказать больше, то вот всё-таки трассировка:

До включения трассировки предварительно в каталоге

C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP1\

device_control.dll - удалил

dns_client.dll - заменил оригинальный файл на левую VMware'кую dll'ку.

 

Заодно для проверки следит ли задача за целостностью AES, в каталоге:

C:\Program Files\Kaspersky Lab\AES Encryption Module\

cm_i13_a.dll - удалил

crypto_provider.dll - заменил оригинальный файл на левую VMware'кую dll'ку, оригинальный т.к. был занят смог только переименовать в имя "asdasd" без расширения.

 

Включил трассировку. Запустил задачу, получил лишь одно предупреждение про "device_control.dll" и без конкретики, что файла вовсе нет:

badm.png

 

Трассировка, гси, евенты, скрины:

ftp://Demiad1@data8.kaspersky-labs.com/t3..._2015-09-24.rar

 

Здравствуйте,

если отключить самозащиту и удалить всё, что связано с КЕС, то тут уже ничего не может помочь - работоспосбность программы нарушена и ожидать что какая-либо задача будет работать не приходится.

Спасибо.

Share this post


Link to post

Dmitry Eremeev, согласен с Вашим высказыванием. Но хотел бы обратить внимание, что на остальные вопросы в теме ответа не дали:

- нет никакой документации на описание задачи "Проверка целостности", если спросите считаю ли я это багой, то да. Варианты реализации: написать в интерфейсе KES краткое описание, либо в "Справка" раздела этой задачи, либо в Руководство администратора, в последнем варианте вы подпишете себя описать в нём все задачи, сейчас там очень обзорно рассказано.

- создалось впечатление, что проверкой целостности модуля AES задача не занимается, я полагаю это лазейка для злоумышленника, думайте сами, ЛК виднее.

- задача проверки целостности не отличает удаление исполняемого файла компонента от его подмены, лучше на случай удаления писать соответствующее по тексту событие.

Спасибо.

Share this post


Link to post
Dmitry Eremeev, согласен с Вашим высказыванием. Но хотел бы обратить внимание, что на остальные вопросы в теме ответа не дали:

- нет никакой документации на описание задачи "Проверка целостности", если спросите считаю ли я это багой, то да. Варианты реализации: написать в интерфейсе KES краткое описание, либо в "Справка" раздела этой задачи, либо в Руководство администратора, в последнем варианте вы подпишете себя описать в нём все задачи, сейчас там очень обзорно рассказано.

- создалось впечатление, что проверкой целостности модуля AES задача не занимается, я полагаю это лазейка для злоумышленника, думайте сами, ЛК виднее.

- задача проверки целостности не отличает удаление исполняемого файла компонента от его подмены, лучше на случай удаления писать соответствующее по тексту событие.

Спасибо.

 

Здравствуйте,

 

В KES 10 SP1 MR2, в справке присутствует Integrity check / Проверка целостности. Проверялось на русскоязычной и англоязычной версиях. Также это подтвердили наши коллеги.

 

Спасибо!

Share this post


Link to post
Здравствуйте,

 

В KES 10 SP1 MR2, в справке присутствует Integrity check / Проверка целостности. Проверялось на русскоязычной и англоязычной версиях. Также это подтвердили наши коллеги.

 

Спасибо!

Евгений, вопрос в описании задачи, ещё раз:

Хотел проверить работу задачи "Проверка целостности", но не нашёл описания что она делает. В документации на SP1 информации нет:

http://docs.kaspersky-labs.com/russian/kes...wksfswin_ru.pdf

В Справке интерфейса беты тоже. <...>

В Справке надо только описание элементов, которое и так вполне очевидно:

post-454289-1443169312_thumb.png

 

Например, в другой задаче "Поиск уязвимостей" информация о том чем занимается задача вынесено в интерфейс KES где её настраиваешь:

post-454289-1443169624_thumb.png

В Справке по ней нет этих же сведений

 

Сделайте также с задачей "Проверка целостности", вынесите в интерфейс пару слов о её функциях.

Edited by Demiad

Share this post


Link to post
Евгений, вопрос в описании задачи, ещё раз:

 

В Справке надо только описание элементов, которое и так вполне очевидно:

hpc.png

 

Например, в другой задаче "Поиск уязвимостей" информация о том чем занимается задача вынесено в интерфейс KES где её настраиваешь:

op.png

В Справке по ней нет этих же сведений

 

Сделайте также с задачей "Проверка целостности", вынесите в интерфейс пару слов о её функциях.

 

Решение будет внесено в следующую тестовую сборку.

 

Спасибо!

Share this post


Link to post

Формулировка бага из темы релиза беты 2:

"1270196 [KES10SP1MR2_FORUM] Integrity check task does not notify that KES files were removed or renamed"

 

Проверяю:

Если подменить application_categorizer.dll (C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP1)

на версии 10.2.4.509, то задача проверки целостности находит 0

на версии 10.2.4.649, то задача проверки целостности находит 1

Можно сделать вывод, что сценарий подмены родного файла на чужой теперь покрывается. Поправили.

 

Однако другие моменты о которых писал в этой теме так и не устранены:

Dmitry Eremeev, согласен с Вашим высказыванием. Но хотел бы обратить внимание, что на остальные вопросы в теме ответа не дали:

- нет никакой документации на описание задачи "Проверка целостности", если спросите считаю ли я это багой, то да. Варианты реализации: написать в интерфейсе KES краткое описание, либо в "Справка" раздела этой задачи, либо в Руководство администратора, в последнем варианте вы подпишете себя описать в нём все задачи, сейчас там очень обзорно рассказано.

- создалось впечатление, что проверкой целостности модуля AES задача не занимается, я полагаю это лазейка для злоумышленника, думайте сами, ЛК виднее.

- задача проверки целостности не отличает удаление исполняемого файла компонента от его подмены, лучше на случай удаления писать соответствующее по тексту событие.

Спасибо.

 

Проверяем:

п.1 Нигде так и не внесены изменения (справка, интерфейс), чем и как официально занимается задача неизвестно.

п.2 Сценарий:

Выключил самозащиту, вышел из KES, удалил все файлы из:

C:\Program Files (x86)\Kaspersky Lab\AES Encryption Module

Включил KES, выполнил задачу. Нчиего не н

Результат задачи "Проверка целостности": "Файлов с нарушенной целостностью: не обнаружено"

Так и не устранено.

п.3 Текст обнаружения проблемы одинаковый, но и ладно, не очень надо.

 

Share this post


Link to post

опечатка:

"Включил KES, выполнил задачу. Ничего не находит.

Результат задачи "Проверка целостности": "Файлов с нарушенной целостностью: не обнаружено""

Share this post


Link to post
опечатка:

"Включил KES, выполнил задачу. Ничего не находит.

Результат задачи "Проверка целостности": "Файлов с нарушенной целостностью: не обнаружено""

 

Здравствуйте,

 

Данное воспроизведение будет проверено на последующих сборках.

 

Спасибо!

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.