Jump to content
green123

Восстановление файлов карантина [В процессе]

Recommended Posts

Добрый день.

 

KES10

 

Подскажите, возможно ли восстановить файл карантина (.klq) НЕ на том компьютере на котором он был обнаружен?

Я пробовал подкладывать файл в директорию QB на другом ПК (предварительно отключив самозащиту) , но через интерфейс KES10 данного файла не видно.

 

Лицензия у продуктов одинаковая.

Edited by fsociety

Share this post


Link to post
Добрый день.

 

KES10

 

Подскажите, возможно ли восстановить файл карантина (.klq) НЕ на том компьютере на котором он был обнаружен?

Я пробовал подкладывать файл в директорию QB на другом ПК (предварительно отключив самозащиту) , но через интерфейс KES10 данного файла не видно.

 

Лицензия у продуктов одинаковая.

 

Здравствуйте.

 

Копирование контейнеров вручную не предусмотрено.

Файлы из карантина восстанавливаются по тому же пути, из которого они были перемещены. Скопировать их на другие машины средствами KES нельзя.

 

Спасибо.

Share this post


Link to post

Добрый день. 
С момента публикации прошло уже 2 года. Были ли за это время какие-либо нововведения по данному вопросу?
Так же интересует можно ли восстановить файлы из карантина Kaspersky Virus Removal Tool средствами Kaspersky Endpoint Security?
 

Share this post


Link to post

Здравствуйте!

В новой версии KES11 был убран функционал карантина, теперь есть только бекап, куда отправляются подозрительные файлы. 

Спасибо!

Share this post


Link to post
2 часа назад, Ivan.Ponomarev сказал:

Здравствуйте!

В новой версии KES11 был убран функционал карантина, теперь есть только бекап, куда отправляются подозрительные файлы. 

Спасибо!

Немного поясню в чем задача:
Есть компьютер, который был проверен с помощью KVRT. Утилита обнаружила вирус и добавила его в папку Quarantine попутно сконвертировав файл в формат .klq. Сейчас я хочу со второго компьютера провести процедуру конвертации файла в изначальное состояние, чтобы исследовать его на предмет вредоносности в песочнице, понять что именно файл делает, получить сведения о файле(метаданные) и т.д.
Есть ли какая-либо возможность это сделать? Возможно дополнительная утилита от лаборатории или это делается стандартными средствами? 

Share this post


Link to post

Здравствуйте!

Это делается стандартными средствами KVRT.

Спасибо!

Share this post


Link to post
13 часов назад, Ivan.Ponomarev сказал:

Здравствуйте!

Это делается стандартными средствами KVRT.

Спасибо!

Здравствуйте. 
Большое спасибо за оперативные ответы. Однако возникло еще несколько вопросов.
При попытке восстановить файл из карантина KVRT выдается неизвестная ошибка. Файл восстанавливаю из карантина, взятого с другого компьютера и вручную добавленного в папку C:\KVRT_Data\Quarantine (кроме самих файлов карантина так же копируются файл отчета).
Возможно ошибка возникает из-за того, что файл восстанавливается на другом компьютере и путь восстановления файла отсутствует. Как можно назначить файлу другой путь для восстановления? В программе я не нахожу соответствующих настроек.

2019-01-22_084555.jpg

2019-01-22_084617.jpg

Share this post


Link to post
1 час назад, PanAnjey сказал:

Возможно ошибка возникает из-за того, что файл восстанавливается на другом компьютере и путь восстановления файла отсутствует. Как можно назначить файлу другой путь для восстановления? В программе я не нахожу соответствующих настроек.

Попробуйте создать такой путь на новом компьютере.  Если диска Е нет, можно использовать флешку, присвоив ей эту букву или команду SUBST

Share this post


Link to post
15 минут назад, Денис-НН сказал:

Попробуйте создать такой путь на новом компьютере.  Если диска Е нет, можно использовать флешку, присвоив ей эту букву или команду SUBST

Только что попробовал. Увы, но этот вариант хоть и кажется очевидным и заведоморабочим - не работает. На компьютере есть диск Е. Создал на этом диске два пути, указанных в KVRT, но при попытке восстановить файлы возникает точно такая же ошибка.  

2019-01-22_104755.jpg

2019-01-22_104813.jpg

2019-01-22_104824.jpg

Edited by PanAnjey

Share this post


Link to post
2 часа назад, PanAnjey сказал:

восстанавливаю из карантина, взятого с другого компьютера

вот наверно где собака зарыта.
копировать файл карантина на другой ПК для восстановления содержащихся в нем объектов .... у меня нет слов

Share this post


Link to post
1 минуту назад, kmscom сказал:

вот наверно где собака зарыта.
копировать файл карантина на другой ПК для восстановления содержащихся в нем объектов .... у меня нет слов

Я же описывал поставленную задачу в самом начале!

17 часов назад, PanAnjey сказал:

Немного поясню в чем задача:
Есть компьютер, который был проверен с помощью KVRT. Утилита обнаружила вирус и добавила его в папку Quarantine попутно сконвертировав файл в формат .klq. Сейчас я хочу со второго компьютера провести процедуру конвертации файла в изначальное состояние, чтобы исследовать его на предмет вредоносности в песочнице, понять что именно файл делает, получить сведения о файле(метаданные) и т.д.
Есть ли какая-либо возможность это сделать? Возможно дополнительная утилита от лаборатории или это делается стандартными средствами? 

Она выполнима или нет? Если нет, то почему? Как ее можно выполнить? Что для этого нужно? Маленькая ремарка: на проверяемом компе нет антивируса вообще. Проверка выполнялась утилитой от лаборатории. Карантин создавала эта же утилита. Он есть на моем рабочем компе. Посмотреть что за файлы (путь к нему и имя файла), дату проверки и т.д. я могу. Теперь надо получить сам файл, чтобы закинуть его на hybrid-analysis и virustotal. 

Share this post


Link to post

PanAnjey ну может невнимательно прочитали или не так поняли.
запуск утилиты и выполнение проверки осуществлялась я так понимаю непосредственно на зараженном ПК, так на нем и восстанавливайте

Share this post


Link to post
1 минуту назад, kmscom сказал:

PanAnjey ну может невнимательно прочитали или не так поняли.
запуск утилиты и выполнение проверки осуществлялась я так понимаю непосредственно на зараженном ПК, так на нем и восстанавливайте

Хорошо. Спасибо за ответ, хоть я и пришел к нему сам. Не хочется прибегать к нему, так как надо идти в другое здание + отвлекать человека от работы. Один способ получить образец есть. Еще какие-либо способы есть?
Почему нельзя восстанавливать на других ПК? Где можно почитать про механизм работы карантина? Почему я могу просмотреть информацию о вирусе, но не могу получить его копию, чтобы понять что он делает?

Share this post


Link to post

PanAnjey  я не могу утверждать точно, но фаил карантина зашифрован и несмотря на то, что на другом ПК можно узнать его содержимое, расшифровать содержащиеся в нем обьекты возможно только на том ПК, на котором он создан. Какие именно используется параметры, при создании карантина, не знаю, попробуйте например клонировать серийный номер системного диска.

Share this post


Link to post

kmscom Понял. Большое спасибо за объяснения и подсказки. Будем работать по старинке)

Share this post


Link to post
В 22.01.2019 в 11:28, PanAnjey сказал:

Один способ получить образец есть. Еще какие-либо способы есть?

Нет.

 

В 22.01.2019 в 11:28, PanAnjey сказал:

Почему нельзя восстанавливать на других ПК? Где можно почитать про механизм работы карантина? Почему я могу просмотреть информацию о вирусе, но не могу получить его копию, чтобы понять что он делает?


Потому что можно будет взять klq файл с малварой и с помощью KVRT распространять вредоносный файл. Например, скопировать её из папки KVRT карантина в system32.

 

Share this post


Link to post

Yury N. , а можно узнать, вот зачем стали шифровать отчёт KVRT ? Бывает же нужно, потом взять и посмотреть, что он там удалил.
Отчёты и даже трассировки штатно установленных продуктов (KAV/KIS/KTS) не шифруются, хотя там на мой взгляд куда больше личной информации содержится. Так зачем в KVRT шифровать?!

Share this post


Link to post
В 23.01.2019 в 22:45, regist сказал:

Yury N. , а можно узнать, вот зачем стали шифровать отчёт KVRT ? Бывает же нужно, потом взять и посмотреть, что он там удалил.
Отчёты и даже трассировки штатно установленных продуктов (KAV/KIS/KTS) не шифруются, хотя там на мой взгляд куда больше личной информации содержится. Так зачем в KVRT шифровать?!

Тогда (в 2014 году) были такие требования от юристов. Например, KIS 2015 шифровал трейсы.

Следущая версия вероятно шифровать не будет.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.