Отличия KRD от KES при сканировании

[imf]

При обнаружении очередных вирусов сервисом KES, обнаружилась пара вирусов.

 

Возник спор с коллегой на тему:

По моей информации, KES, работающий в фоновом режиме ОС, не может полностью отсканировать все системные файлы, обеспечить полной защиты в реальном времени, наиболее правильным вариантом при обнаружении подозрительной активности считаю загрузку через KRD, и полное сканирование (отключаются системные процессы).

 

Коллега, же считает, что KES проверяет все системные процессы, и при необходимости сообщает, какой из них заражён, и KRD необходим только в случае “экстренной реанимации” ПК (например, система не загружается).

[Andrey Kirzhemanov]

Добрый день, @imf!

Спасибо за интересный вопрос! В принципе, оба утверждения имеют право на жизнь и в по большей части верные.

По моей информации, KES, работающий в фоновом режиме ОС, не может полностью отсканировать все системные файлы, обеспечить полной защиты в реальном времени, наиболее правильным вариантом при обнаружении подозрительной активности считаю загрузку через KRD, и полное сканирование (отключаются системные процессы).

Да, система блокирует некоторые файлы на диске при чтении через штатное API. Но это не мешает использовать низкоуровневое чтение диска для их анализа и детектирования. Такие файлы сложно пролечить после детекта, но методы тоже есть.

Но и у KRD имеется ряд ограничений, которых нет у KES’а:

1. Если система защищена дисковым (VeraCrypt, KLFDE и т.д.) или томовым (BitLocker, VeraCrypt и т.д.) шифрованием, то KRD на текущий момент бессилен помочь
2. Есть ряд узкоспециализированных мест запуска\хранения исполняемых файлов\скриптов для которых отсутствуют парсеры в KRD, т.к. при работе в живой системе используется родное API для доступа к этим хранилищам

Коллега, же считает, что KES проверяет все системные процессы, и при необходимости сообщает, какой из них заражён, и KRD необходим только в случае “экстренной реанимации” ПК (например, система не загружается).

Есть ряд категорий вредоносного ПО, которое тяжело вылечить из заражённой системы:

1. Вымогатели, которые блокируют полноценную загрузку ОС
2. Руткиты, которые виртуализируют запись на диск\том и после перезагрузки отказывают все изменения
3. Руткиты, которые активно препятствуют загрузке\работе драйверов антивирусного ПО

Но надо признать, что доля такого вредоносного ПО вот очень мала.

 

Итого - для защиты компьютера в реальном времени KES’а достаточно. Но если есть какие-то подозрения на недетектируемую вредоносную активность то запустить KRD и проверить им будет не лишним. Также после детекта и лечения или просто с некой периодичностью можно сканировать систему с помощью KRD - хуже от этого не будет, но и дополнительных детектов скорее всего тоже. Каждый для себя решает сам какой уровень безопасности его устраивает и сколько усилий он готов для этого прилагать...

[Denis-NN]

Могу добавить по КРД.

1 ОН не всегда может загрузить сетевые драйвера и подключиться к сети. В этом случае пропадает детект файлов по KSN.  В этом случае он может пропустить что то очень новое, появившееся недавно.

2 Я участвовал в тестировании  КРД и заметил что у него слабее эвристический анализ. Как объяснили разработчики сложно эмулировать процессы для windows.  Так что Эвристический  анализ будет хуже. Не сказать, что это критично, но есть такая особенность.

[Andrey Kirzhemanov]

К написанным Денисом проблемам могу добавит ещё:

1. Проблемы с загрузкой на системах с видеокартами NVidia, которые требуют проприетарных драйверов
2. Проблемы с загрузкой на системах с современными аппаратными рейдами (IRST и т.д.)