Jump to content
Demiad

Удаление Upper Filter - KLFLTDEV установщиком KFA при самозащите KES [1307723]

Recommended Posts

Проблема: установщик KFA16.0.1.316ru позволяет при включённой самозащите KES выполнить частичное удаление KLFLTDEV Upper Filter. Удаляются значения "KLFLTDEV" из параметров "UpperFilters" во вложенных ветках ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class. Служба "KLFLTDEV" останется работать, файл c:\windows\system3\drivers\KLFLTDEV.sys останется на месте. Попытки удалить/изменить те же значения реестра руками через regedit не проходят успешно, самозащита срабатывает, проблема только от установщика KFA.

 

Ожидаемый результат: самозащита KES не должна позволять вносить изменения установщику KFA.

 

Воспроизведение:

Пользователь имеет права администратора в ОС; KES 10.2.4.649, самозащита включена.

1. Проверить наличие параметра "UpperFilter" со значением "KLFLTDEV" в ветке:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{25dbce51-6c8f-4a72-8a6d-b54c2b4fc835}

post-454289-1447276910_thumb.png

2. Запустить установку KFA16.0.1.316ru http://devbuilds.kaspersky-labs.com/devbui....1.316ru-RU.exe , дойти до шага удаления несовместимого ПО

post-454289-1447276333_thumb.png

Найден несовместимый компонент "KLFLTDEV Upper Filter", нажать "Удалить отмеченное". Из обнаруженного несовместимого ПО пункт ушёл и повторным поиском его больше не найдёт.

3. Параметр "UpperFilter" удалён из ветки:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{25dbce51-6c8f-4a72-8a6d-b54c2b4fc835}

post-454289-1447276915_thumb.png

Edited by Demiad

Share this post


Link to post
Проблема: установщик KFA16.0.1.316ru позволяет при включённой самозащите KES выполнить частичное удаление KLFLTDEV Upper Filter. Удаляются значения "KLFLTDEV" из параметров "UpperFilters" во вложенных ветках ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class. Служба "KLFLTDEV" останется работать, файл c:\windows\system3\drivers\KLFLTDEV.sys останется на месте. Попытки удалить/изменить те же значения реестра руками через regedit не проходят успешно, самозащита срабатывает, проблема только от установщика KFA.

 

Ожидаемый результат: самозащита KES не должна позволять вносить изменения установщику KFA.

 

Воспроизведение:

Пользователь имеет права администратора в ОС; KES 10.2.4.649, самозащита включена.

1. Проверить наличие параметра "UpperFilter" со значением "KLFLTDEV" в ветке:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{25dbce51-6c8f-4a72-8a6d-b54c2b4fc835}

post-454289-1447276910_thumb.png

2. Запустить установку KFA16.0.1.316ru http://devbuilds.kaspersky-labs.com/devbui....1.316ru-RU.exe , дойти до шага удаления несовместимого ПО

post-454289-1447276333_thumb.png

Найден несовместимый компонент "KLFLTDEV Upper Filter", нажать "Удалить отмеченное". Из обнаруженного несовместимого ПО пункт ушёл и повторным поиском его больше не найдёт.

3. Параметр "UpperFilter" удалён из ветки:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{25dbce51-6c8f-4a72-8a6d-b54c2b4fc835}

post-454289-1447276915_thumb.png

 

Здравствуйте,

 

Присылайте трассировки продукта во время воспроизведения.

 

Спасибо!

 

Share this post


Link to post

Включил трассировку, запустил установщик KFA, на шаге отображения несовместимого ПО отобразился "KLFLTDEV Upper Filter", проверил через REGEDIT значение "KLFLTDEV" в параметре "UpperFilters" в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class, в установщике нажал "Удалить отмеченное", удалилось, нажал в установщике обновить список, фильтра больше не отобразилось. Обновил ветку в REGEDIT, параметр "UpperFilters" исчез. Выключил трассировку.

Скрины шагов, gsi с евентами, трассировка:

ftp://Demiad1@data8.kaspersky-labs.com/t3..._2015-11-12.rar

Share this post


Link to post
Проблема: установщик KFA16.0.1.316ru позволяет при включённой самозащите KES выполнить частичное удаление KLFLTDEV Upper Filter. Удаляются значения "KLFLTDEV" из параметров "UpperFilters" во вложенных ветках ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class. Служба "KLFLTDEV" останется работать, файл c:\windows\system3\drivers\KLFLTDEV.sys останется на месте. Попытки удалить/изменить те же значения реестра руками через regedit не проходят успешно, самозащита срабатывает, проблема только от установщика KFA.

 

Ожидаемый результат: самозащита KES не должна позволять вносить изменения установщику KFA.

 

Воспроизведение:

Пользователь имеет права администратора в ОС; KES 10.2.4.649, самозащита включена.

1. Проверить наличие параметра "UpperFilter" со значением "KLFLTDEV" в ветке:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{25dbce51-6c8f-4a72-8a6d-b54c2b4fc835}

post-454289-1447276910_thumb.png

2. Запустить установку KFA16.0.1.316ru http://devbuilds.kaspersky-labs.com/devbui....1.316ru-RU.exe , дойти до шага удаления несовместимого ПО

post-454289-1447276333_thumb.png

Найден несовместимый компонент "KLFLTDEV Upper Filter", нажать "Удалить отмеченное". Из обнаруженного несовместимого ПО пункт ушёл и повторным поиском его больше не найдёт.

3. Параметр "UpperFilter" удалён из ветки:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{25dbce51-6c8f-4a72-8a6d-b54c2b4fc835}

post-454289-1447276915_thumb.png

 

Здравствуйте!

 

Вы не могли бы мне объяснить, что это такое KFA16.0.1.316ru ??? :rolleyes:

 

Я об этом впервые вижу!

Share this post


Link to post
Здравствуйте!

 

Вы не могли бы мне объяснить, что это такое KFA16.0.1.316ru ??? :rolleyes:

 

Я об этом впервые вижу!

 

Здравствуйте,

 

Мы немного ушли от изначальной темы. Описание функционала продукта, ссылка на скачивание и сравнение представленно здесь.

 

Спасибо!

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.