Jump to content
Dahiko

Сценарий "Вердикты расширенной защиты"

Recommended Posts

Всем привет!

Прогнал сценарий "Вердикты расширенной защиты". В ходе прогона нашел отличия, файл во вложении.

Если вкратце, то:

1. Если выполнять батники из CMD, запущенной от имени администратора, то KES не реагирует на них. Проверил 2 раза каждый батник. KES срабатывает только если нажать на сам батник правой кнопкой и выбрать «Запуск от имени администратора».

2. При выполнении батника behavior2.bat появляется не пять событий, а три. И созданный файл на диске С не удалился

 

KES11_Advanced_protection_ru_v.1.1.0.pdf

Share this post


Link to post

Здравствуйте!

Соберите пожалуйста GSI отчет с проблемной машины и трассировки во время воспроизведения.

Спасибо!

Share this post


Link to post

Воспроизвел проблему с каждым файлом

behavior1
Запуск в 22:06 из CMD от администратора - не ОК
Запуск в 22:08 самого файла от имени администратора - ОК


behavior2
Запуск в 22:17 из CMD от администратора - не ОК
Запуск в 22:18 самого файла от имени администратора - Появилось три события: обнаружен, создана копия, удален (батник), а должно 5 событий


exploit
Запуск в 22:21 из CMD от администратора - не ОК
Запуск в 22:22 самого файла от имени администратора - появилось два события: обнаружен, запрещено

Собранные данные здесь

https://cloud.mail.ru/public/mF1U/xBNwED9Au

Share this post


Link to post

По Вашему запросу создали Issue 2446480

Будем держать Вас в курсе.

Спасибо!

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.