Ausnahmen zurücknehmen, Untersuchung von *.VHD-Dateien

[behue]

Hallo,

ich nutze KIS 20.0.14.1085(g) auf Windows 10 (64) 1909.

Bisher habe ich bei geplanten Untersuchungen immer alle Dateien untersuchen lassen.

Darunter waren auch mehrere sehr große virtuelle Maschinen als *.vhd.

Bisher wurden diese Dateien immer gescannt - das dauerte dann natürlich sehr lange.

Nun hatte ich in den Ausnahmen *.vhd hinzugefügt. Die Überprüfung ging danach wie erwartet deutlich schneller.

Jetzt habe ich diese Ausnahme inaktiv gesetzt - diese Dateien werden trotzdem NICHT geprüft.

Danach habe ich diese Ausnahme komplett gelöscht - diese Dateien werden auch weiterhin NICHT geprüft.

 

Es sind noch weitere Ausnahmen vorhanden, z.B. *.iso und der Windows Backup-Ordner.

 

Was mache ich falsch oder wo liegt hier der Fehler?

 

behue

 

[Schulte]

Hallo @behue, willkommen im Forum.

Ich denke nicht, dass Du hier einen Fehler machst.

Ich führe das Verhalten auf die Scan-Optimierung Deiner KIS zurück.
Als Standard ist “Nur neue und veränderte Daten untersuchen” gesetzt. Deine .vhd wurde ja schonmal untersucht, erst wenn sie verändert wurde wird sie erneut gescant.

“Einstellungen->Schutz->Datei-Anti-Virus->Erweiterte Einstellungen” bietet einige Optimierungen:

 

Wenn Du auf der Seite etwas nach unten scrollst, siehst Du noch die Optionen “iSwift” und “iChecker”. Auch die haben mit der Scanoptimierung zu tun.

Wenn Du die Dateien manuell untersuchen möchtest, sollte das per Mausrechtsklick darauf über das Kontextmenü funktionieren.

[behue]

Hallo Schulte,

und Danke für die Info.

1. Ich habe KEINE Häkchen gesetzt bei “Untersuchung optimieren”
2. Auch der rechte Mausklick führt NICHT zur Untersuchung dieser Dateien (bei der “benutzerdefinierten Untersuchung” verwende ich die gleichen Einstellungen)
3. Die *.vhd wurden auch definitiv geändert.

Diese Einstellungen habe ich alle kontrolliert.

behue

[Schulte]

Zur Sicherheit nochmal die Nachfrage:

woran erkennst Du, dass die .vhd nicht untersucht wurde?
Taucht die Untersuchung nicht im Bericht auf?
Oder lässt sie sich erst gar nicht starten?

[behue]

Die *.vhd ist 150GB groß.

Die Untersuchung ist SOFORT fertig. Da kann nichts passiert sein.

Im Bericht steht:

“Die Aufgabe wurde gestartet”. Rechts steht der Dateiname mit Pfadangabe.

In der gleichen Minute folgt: “Die Aufgabe wurde abgeschlossen”.

 

behue

 

[Schulte]

Ich bin mir gerade nicht sicher, ob KIS überhaupt .vhd-Dateien untersucht. Da muss ich morgen mal einen anderen Rechner anwerfen.

Kannst Du mal mit einer .iso testen, ob diese mit Deinen Einstellungen immer gescant wird?

[behue]

Habe gerade eine *.iso von Acronis gescannt.

1. 967 Dateien untersucht (also in der *.iso)
2. Untersucht, obwohl *.iso in den Ausnahmen steht. Das funktioniert also auch nicht.
3. *.iso Ausnahme auf “Inaktiv” gesetzt. Andere *.iso untersucht. Funktioniert auch.
4. *.iso Ausnahme gtelöscht. Wieder andere *.iso untersucht. Funktioniert ebenfalls.
5. Wird die selbe Datei 2x hintereinander untersucht, überspringt KIS die 2. Untersuchung. Das ist o.k. Die *.vhd wurde aber definitiv vor der Untersuchung geändert.

behue

[Schulte]

Hi @behue,

wenn Du eine Datei manuell untersuchst, übergeht KIS die eingetragenen Ausnahmen.

Wie schon angedeutet habe ich die Vermutung, dass KIS .vhd-Dateien überhaupt nicht untersucht. Die sind ja nicht so einfach zu mounten wie eine .iso.

Auch die speziell für VMs gedachte “Security for Virtualization” kann inaktive .vhds nur unter ganz bestimmten Bedingungen (die auf Deinem Rechner sicher nicht gegeben sind) untersuchen.

[behue]

o.k.

Ich bin mir aber sicher, dass das mal funktioniert hat. Ich habe mal die Untersuchung in der Aufgabenübersicht detailliert beobachtet. Da wurden *.vhd untersucht.

Kann es sein, dass man dafür mit Administratorberechtigungen angemeldet sein muss?

Seit einiger Zeit habe ich meine Anmeldung umgestellt auf Standard-Nutzer.

 

behue

[Schulte]

Das könnte natürlich auch ein Grund sein.

Hast Du mal die Dateieigenschaften->Sicherheit geprüft, ob Du überhaupt Leseberechtigung hast?

Nachtrag: welche VM verwendest Du?
Mit der KIS 2009 hattest Du mal ein Problem mit Virtual-PC. Das wird’s wohl nicht mehr sein...

[behue]

Die Gruppe der “Benutzer” hat die Berechtigung “Lesen und Ausführen”.

Alle übergeordneten Ordner: “Ordnerinhalt anzeigen”.

Ich verwende VirtualBox 6.1.2. mit 6 verschiedenen VMs. Alle mit *.vhd. Auch alle Vorgängerversionen liefen ohne Probleme.

behue

[Schulte]

OK, Danke für die Info.

Ich möchte mich jetzt gerne bis morgen raushalten, dann installiere ich mir VB und schau mir das genauer an.

Falls ein anderer User eigene Erfahrung/Ideen hat - bitte posten.

[behue]

Danke erst einmal für die Hilfe.

behue

 

[behue]

Als Mitglied der Gruppe der Administratoren funktioniert es auch nicht.

behue

[behue]

Gibt es etwas neues zur Untersuchung von *.vhd Dateien?

 

behue

[Schulte]

Danke für den Anschubser, jetzt weiß ich wieder was ich vergessen hatte…

Getestet habe ich bislang nur einige alte .vhd von Virtual-PC. Die kann meine KSOS20 nicht öffnen, die Untersuchung dauert nichtmal eine Sekunde. An den Einstellungen liegt es nicht, habe alles Mögliche durchprobiert.

Der Test mit VB folgt zeitnah.

[behue]

O.k.

Die *.vhd sind die gleichen.

In VB kann man statt *.vdi auch *.vhd (von virtual PC oder Hyper-V) nehmen.

Dann kann KIS offensichtlich die *.vhd nicht oder nicht mehr öffnen.

Als Alternative muss ich die Dateien als virtuelle Festplatte mounten. Dann kann KIS sie als Laufwerk untersuchen.

behue

 

[Schulte]

Hi @behue,

ich hatte Anfang der Woche auf meinem Arbeitsrechner (Win7) getestet, das kann die Dateien nicht als VHD mounten.

Teste morgen (oder besser: heute) auf Win10, eventuell ergibt sich da ein ganz anderes Ergebnis.

[Schulte]

Kurzer Zwischenbericht:

• neue SSD
• neues Win10 Pro (1903)
• neue KSOS20
• neues VB (6.0.14)

 

in VB:

• WIN7 installation auf dynamischer .vhd
• Datenpartition auf fester Partition

KSOS kann beide .vhd-Dateien nicht entpacken und scannen.

Ich werde alle Softwarekomponenten noch auf den neuesten Stand bringen, denke aber nicht, dass das eine Veränderung bringt.

Du wirst wohl mit dem temporären Mounten leben müssen...

[behue]

Danke für die Info.

Dann wird das wohl nicht (oder nicht mehr) funktionieren.

Ich bin mir aber sicher, die Untersuchung einer *.vhd irgendwann (in einer früheren Version von KIS?) beobachtet zu haben.

Aber vielleicht auch nicht.

Schulte, sorry für die Mühe, die ich dir gemacht habe. Und Danke für die Hilfe.

 

behue

 

[Schulte]

Kein Problem, gerne geschehen. Ich möchte es ja selbst wissen…

Unsere Versuche bedeuten aber nur, dass wir es nicht hinbringen.

Vielleicht hat ein anderer User noch einen entscheidenden Tipp.

[Schulte]

Eben kam noch die Bestätigung durch den Moskauer Support.

Auszug:

Kaspersky is able to detect malicious code when a virtual machine is mounted and active.

When the virtual machine is not open, the files are not detected, as Kaspersky will not scan the files contained within a VHD or VHDX file.

Unless of course a specific folder in the actual hard drive has been used as an "external" storage space for the virtual machine and the files are stored there.

Das deckt sich mit unser Erkenntnis.
Die Ausnahme ist ein spezieller Ordner auf der lokalen HD, der als externer Speicher der VM dient. Dann haben wir aber keine .VHD-Datei…

Ein Danke nach Moskau für die Aufklärung

[behue]

o.k. Damit ist alles klar.

Vielleicht hatte ich früher auch mal eine *.vhd dauerhaft gemountet.

behue