Jump to content
it-nico

Защита от файловых угроз препятствует Безопасному извлечению флешек

Recommended Posts

Здравствуйте!

После установки на Windows 10 14393 бета-версии KES 11.0.0.5186 стали надоедать две неприятности:

1. Иногда не работает меню пуск (меню Win+X работает всегда) - причем, похоже, это связано с Поиском Windows (не раз видел такие проблемы - всегда это было из-за Поиска). Но четкой зависимости, при каком сценарии это происходит, пока не обнаружил. Кроме той, что переустановка KES на некоторое время (неделю-другую) как будто прекращает проблему.

2. По теме. Перестало срабатывать безопасное извлечение устройств. Сегодня удалось наконец-то вычислить компонент, который препятствует этому - Защита от файловых угроз.

Записал трассировку и лог procmon (там видно, что проблемы с извлечением возникают после того, как в записи файлов участвует avp.exe):

1. Выключить Защиту от файловых угроз. Включить трассировку, лог procmon, извлечь флешку

2. Подсоединить флешку, скопировать на нее файл pass.pdf. Извлечь флешку через Безопасное извлечение устройств. Все срабатывает.

3. Снова подсоединить флешку. Включить Защиту от файловых угроз. Дождаться ее включения. Скопировать файл Безымянный.png на флешку. Сделать три попытки Безопасного извлечения устроств для флешки. "Windows не удалось остановить "Запоминающее устройства для USB""

4. Остановить трассировку и лог procmon

Пароль скинул KLCentralSupport

log.zip

P.S. Что характерно, если после записи файлов на флешку приостановить\выключить\удалить KES, безопасное извлечение для этой флешки все равно не сработает - до перезагрузки (или выдергивания-подсоединения)

Edited by it-nico
P.S.

Share this post


Link to post

Дополнительная информация: 

Проблема возникает только при условии, что флеш-накопитель отформатирован в NTFS, при этом дескрипторы, которые ловит ProcessExplorer, одинаковы независимо от того, включена защита от Файловых угроз или нет (соответственно, извлекается флешка или нет) 

Спойлер

5a939cbaafaf6_.png.48b48853ebab5adb2eba37cc5711d247.png

В Fat32 таких дескрипторов уже нет и устройство извлекается безопасно.

Данные о флешке

Спойлер

Volume: W:
Controller: USBest UT163 A1B
Possible Memory Chip(s): 
  Samsung K9HBG08U1M
  Samsung K9LAG08U0M
Memory Type: MLC
Flash ID: ECD55525 68
Chip F/W: BM0669
VID: 3538
PID: 0054
Manufacturer: PQI
Product: PQI USB Flash Drive
Query Vendor ID: Generic 
Query Product ID: USB Flash Disk  
Query Product Revision: 0.00
Physical Disk Capacity: 4126146048 Bytes
Windows Disk Capacity:  4103364608 Bytes
Internal Tags: 29ZR-TH84
File System: NTFS
Relative Offset: 1024 KB
USB Version: 2.00
Declared Power: 80 mA
ContMeas ID: FC2E-02-00
Microsoft Windows 10 x64 Build 14393

Пробовал другие утилиты Руссиновича, handle не видит флешку вовсе, sync не справляется без комментариев. USB Safely Remove выдает:

5a939ccbb6463_1.png.e9ae29c838a1faa459be6b0380193c31.png

Share this post


Link to post

Добрый день. 

Уточните, пожалуйста, при включенной защите от файловых угроз, если подождать 5-10 минут после последней операции с устройством (копирование данных на съемный диск), будет ли работать "Безопасное извлечение устройства" ? 

Share this post


Link to post

Еще раз ради эксперимента выждал полчаса - не извлекается

Поигрался также и с настройками файловой защиты, выводы:

1. технологии и методы проверки не влияют

2. влияет изменение режима проверки:

    2.а в любом режиме проверки при доступе/выполнении/удалении файлов и папок безопасное извлечение работает

    2.б в режиме При доступе и При выполнении безопасное извлечение работает в выше указанных случаях и при записи на флеш-накопитель, то есть всегда

3. при исключении съемных носителей из области проверки, естественно, безопасное извлечение работает.

На всякий случай прилагаю полные логи procmon на момент извлечения при включенной и отключенной файловой защите, пароль тот же, что и в теме 

ProcMon.7z

Edited by it-nico

Share this post


Link to post

Добрый день.

Из приведенного описания в вашем последнем сообщении я к сожалению не понял когда не работает безопасное извлечение.

Share this post


Link to post
7 часов назад, Evgeny_E сказал:

Добрый день.

Из приведенного описания в вашем последнем сообщении я к сожалению не понял когда не работает безопасное извлечение.

не работает во всех остальных случаях, а именно: 

1. на настройках Защиты от файловых угроз по умолчанию

2. при выборе Интеллектуального или При доступе и изменении режимов проверки

3. при любых изменениях настроек Защиты от файловых угроз, не касающихся областей проверки и режимов проверки, то есть не исключающих проверку записываемой на флеш-накопитель информации

Сбой безопасного извлечения происходит именно после операций записи под контролем Защиты от файловых угроз.

Share this post


Link to post

3 новых факта:

1. на версиях KES 10 SP2 и KES 10 SP2 MR1 безопасное извлечение работает стабильно.

2. первое безопасное извлечение после перезагрузки ПК  и записи на флеш-накопитель, отформатированный в NTFS, 1 нового файла срабатывает, второе и последующие - уже нет! Защита от файловых угроз при этом работает в обоих случаях. Ссылка на архив с логами в обоих случаях (пароль на KLCentralSupport): https://yadi.sk/d/bgljKztz3TGWZr

Спойлер

Сценарий для трассировок одинаковый, важно только отсутствие перезагрузки перед вторым циклом:

1. включить трассировку и лог procmon

2. выполнить безопасное извлечение

3. вставить флешку, записать на нее 1 файл

4. выполнить попытку безопасного извлечения

 а) в первом случае после перезагрузки извлечение сработает

 б) во втором случае даже после третьей попытки - не срабатывает.

5. выключить трассировку и лог

3. перезагрузка ПК не устраняет проблему при извлечении флешки, если до нее запись выполнялась под присмотром KES и безопасное извлечение не срабатывало. Хотя если извлечь флешку до того, как все службы KES будут запущены, безопасное извлечение сработает. Самое любопытное - если из выключенного ПК вытащить такую флешку и вставить в порт на другой шине - безопасное извлечение после полной загрузки KES не сработает! Ну, чума! Даже если такую неизвлекающуюся флешку вытащить из выключенного ПК и вставить в другой выключенный (KES 10 SP2 MR1), включить его, дождаться полного запуска KES, безопасно извлечь, вставить в тот первый ПК, включить последний и, дождавшись полной загрузки KES, попытаться извлечь - no pasaran! 

Edited by it-nico

Share this post


Link to post

Добрый день. 

 

Уточните, пожалуйста, воспроизведение проблемы на последней сборке Kaspersky Endpoint Security 11  сборка 11.0.0.6485

Share this post


Link to post

Извините за долгий ответ, не приходят письма с уведомлениями (настройки - стандартные, сейчас поменял *@narod.ru на *@yandex.ru - уведомление о смене адреса пришло)

Да, проблема на новой сборке не воспроизводится! Спасибо!

Спойлер

К слову, на той системе я поработал на KES10SP1->KES11->KES10SP2->KES11?->KES10SP2 - проблема была только с KES11, сейчас обновился ОС до 1709

 

Share this post


Link to post

Добрый день. 

Спасибо за ваш ответ. 

Отмечу тему решенной.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.