Jump to content
Kaspersky Support Forum

Отличия KRD от KES при сканировании

imf

By imf
in Kaspersky Rescue Disk

 Share

Recommended Posts

imf

imf

Posted
  • Author
Posted

При обнаружении очередных вирусов сервисом KES, обнаружилась пара вирусов.

 

Возник спор с коллегой на тему:

По моей информации, KES, работающий в фоновом режиме ОС, не может полностью отсканировать все системные файлы, обеспечить полной защиты в реальном времени, наиболее правильным вариантом при обнаружении подозрительной активности считаю загрузку через KRD, и полное сканирование (отключаются системные процессы).

 

Коллега, же считает, что KES проверяет все системные процессы, и при необходимости сообщает, какой из них заражён, и KRD необходим только в случае “экстренной реанимации” ПК (например, система не загружается).

Andrey Kirzhemanov

Andrey Kirzhemanov

Posted
Posted

Добрый день, @imf!

Спасибо за интересный вопрос! В принципе, оба утверждения имеют право на жизнь и в по большей части верные.

По моей информации, KES, работающий в фоновом режиме ОС, не может полностью отсканировать все системные файлы, обеспечить полной защиты в реальном времени, наиболее правильным вариантом при обнаружении подозрительной активности считаю загрузку через KRD, и полное сканирование (отключаются системные процессы).

Да, система блокирует некоторые файлы на диске при чтении через штатное API. Но это не мешает использовать низкоуровневое чтение диска для их анализа и детектирования. Такие файлы сложно пролечить после детекта, но методы тоже есть.

Но и у KRD имеется ряд ограничений, которых нет у KES’а:

  1. Если система защищена дисковым (VeraCrypt, KLFDE и т.д.) или томовым (BitLocker, VeraCrypt и т.д.) шифрованием, то KRD на текущий момент бессилен помочь
  2. Есть ряд узкоспециализированных мест запуска\хранения исполняемых файлов\скриптов для которых отсутствуют парсеры в KRD, т.к. при работе в живой системе используется родное API для доступа к этим хранилищам

Коллега, же считает, что KES проверяет все системные процессы, и при необходимости сообщает, какой из них заражён, и KRD необходим только в случае “экстренной реанимации” ПК (например, система не загружается).

Есть ряд категорий вредоносного ПО, которое тяжело вылечить из заражённой системы:

  1. Вымогатели, которые блокируют полноценную загрузку ОС
  2. Руткиты, которые виртуализируют запись на диск\том и после перезагрузки отказывают все изменения
  3. Руткиты, которые активно препятствуют загрузке\работе драйверов антивирусного ПО

Но надо признать, что доля такого вредоносного ПО вот очень мала.

 

Итого - для защиты компьютера в реальном времени KES’а достаточно. Но если есть какие-то подозрения на недетектируемую вредоносную активность то запустить KRD и проверить им будет не лишним. Также после детекта и лечения или просто с некой периодичностью можно сканировать систему с помощью KRD - хуже от этого не будет, но и дополнительных детектов скорее всего тоже. Каждый для себя решает сам какой уровень безопасности его устраивает и сколько усилий он готов для этого прилагать...

Denis-NN

Denis-NN

Posted
Posted

Могу добавить по КРД.

1 ОН не всегда может загрузить сетевые драйвера и подключиться к сети. В этом случае пропадает детект файлов по KSN.  В этом случае он может пропустить что то очень новое, появившееся недавно.

2 Я участвовал в тестировании  КРД и заметил что у него слабее эвристический анализ. Как объяснили разработчики сложно эмулировать процессы для windows.  Так что Эвристический  анализ будет хуже. Не сказать, что это критично, но есть такая особенность.

Andrey Kirzhemanov

Andrey Kirzhemanov

Posted
Posted

К написанным Денисом проблемам могу добавит ещё:

  1. Проблемы с загрузкой на системах с видеокартами NVidia, которые требуют проприетарных драйверов
  2. Проблемы с загрузкой на системах с современными аппаратными рейдами (IRST и т.д.)

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...