應用程式元件完整性檢查
2024年1月10日
ID 215183
Kaspersky Security 元件中包含許多不同的二進位模組,包括動態連結程式庫、可執行檔、設定檔和介面檔案等形式。駭客可能會用內含惡意程式碼的其他模組或檔案取代一或多個應用程式模組或檔案。為了防範應用程式模組和檔案遭到取代,Kaspersky Security 可以檢查應用程式檔案和模組的完整性。應用程式會檢查檔案和模組是否存在未經授權的變更或損壞。如果應用程式檔案和模組具有不正確的總和檢查碼,即會將其視為損壞。
系統會針對下列應用程式元件的檔案和模組執行完整性檢查:
- Kaspersky Security MMC 管理外掛程式
- Integration Server
- Integration Server 主控台
- Protection Server
- Light Agent for Windows
- Light Agent for Linux
應用程式元件檔案和模組的完整性檢查會使用 integrity_check_tool 公用程式執行。此公用程式會檢查列在名為資訊清單檔案之特殊清單中的檔案和模組的完整性。應用程式元件資訊清單檔案列出檔案和模組完整性,對正確操作應用程式元件而言極其重要。另外也會檢查資訊清單檔案的完整性。
在檢查 Light Agent for Windows 檔案和模組的完整性檢查期間,也會檢查虛擬機上是否存在下列 Light Agent 功能元件:
- 檔案防毒。
- 郵件防護。
- Web 防毒(只對已安裝桌面作業系統的虛擬機)。
- 系統監控。
- AMSI 防護 (除了作業系統版本早於 Windows 10 或 Windows Server 2016 的虛擬機以外)
- 應用程式啟動控制。
- Web 控制(只對已安裝桌面作業系統的虛擬機)。
- 系統完整性監控(只對已安裝伺服器作業系統的虛擬機)。
- 應用程式權限控制 (只對已安裝桌面作業系統的虛擬機)。
- 與 Kaspersky Endpoint Agent 之間的整合。
若未在虛擬機上安裝指定功能元件,Light Agent for Windows 檔案和模組完整性檢查會失敗。
資訊清單檔案和完整性檢查公用程式的位置
- Kaspersky Security for Virtualization 5.2 Light Agent – Protection Server 的 MMC 管理外掛程式:
- 資訊清單檔案:%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Plugins\ksvla5_2.svm.plg\integrity_check.xml。
- 完整性檢查公用程式:%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Plugins\ksvla5_2.svm.plg\integrity_check_tool.exe。
- Kaspersky Security for Virtualization 5.2 Light Agent for Windows 的 MMC 管理外掛程式:
- 資訊清單檔案:%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Plugins\ksvla5_2.windows.plg\integrity_check.xml。
- 完整性檢查公用程式:%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Plugins\ksvla5_2.windows.plg\integrity_check_tool.exe。
- Kaspersky Security for Virtualization 5.2 Light Agent for Linux 的 MMC 管理外掛程式:
- 資訊清單檔案:%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Plugins\ksvla5_2.linux.plg\integrity_check.xml。
- 完整性檢查公用程式:%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Plugins\ksvla5_2.linux.plg\integrity_check_tool.exe。
- Protection Server:
- Protection Server 和 Network Agent for Linux 的合併資訊清單檔案:/opt/kaspersky/la/bin/integrity_check.xml。
- Protection Server 資訊清單檔案:/opt/kaspersky/la/config/integrity.xml。
- Network Agent for Linux 資訊清單檔案:/opt/kaspersky/la/config/klnagent_integrity.xml。
- Protection Server 和 Network Agent for Linux 的完整性檢查公用程式:/opt/kaspersky/la/bin/integrity_check_tool。
- Integration Server:
- 資訊清單檔案:%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\integrity_check.xml。
- 完整性檢查公用程式:%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\integrity_check_tool.exe。
- Integration Server 主控台:
- 資訊清單檔案:%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA Console\integrity_check.xml。
- 完整性檢查公用程式:%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA Console\integrity_check_tool.exe。
- Light Agent for Windows:
- 取決於作業系統的資訊清單檔案:
- %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security for Virtualization 5.2 Light Agent\integrity_check.xml – 針對 64 位元作業系統。
- %ProgramFiles%\Kaspersky Lab\Kaspersky Security for Virtualization 5.2 Light Agent\integrity_check.xml – 針對 32 位元作業系統。
- 取決於作業系統的完整性檢查公用程式:
- %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security for Virtualization 5.2 Light Agent\integrity_check_tool.exe – 針對 64 位元作業系統。
- %ProgramFiles%\Kaspersky Lab\Kaspersky Security for Virtualization 5.2 Light Agent\integrity_check_tool.exe – 針對 32 位元作業系統。
- 取決於作業系統的資訊清單檔案:
- Light Agent for Linux:
- Light Agent for Linux 和 Network Agent for Linux 的合併資訊清單檔案:/opt/kaspersky/lightagent/bin/integrity_check.xml。
- Light Agent for Linux 資訊清單檔案:/opt/kaspersky/lightagent/config/integrity.xml。
- Network Agent for Linux 資訊清單檔案:opt/kaspersky/lightagent/config/klnagent_integrity.xml。
- Light Agent for Linux 和 Network Agent for Linux 的完整性檢查公用程式:/opt/kaspersky/lightagent/bin/integrity_check_tool。
針對應用程式元件啟動完整性檢查公用程式
若要在 SVM 及已安裝 Light Agent for Linux 的虛擬機上執行完整性檢查公用程式,需要 root 帳戶。針對其他所有元件執行完整性檢查公用程式需要有管理員帳戶。
若要檢查應用程式元件的完整性,請執行以下其中一個指令,從此元件的公用程式所在的資料夾執行公用程式:
- 在 Windows 作業系統中:
integrity_check_tool.exe -v[|--verify] -m[|--manifest] <資訊清單檔路徑> - 在 Linux 作業系統中:
integrity_check_tool -v[|--verify] -m[|--manifest] <資訊清單檔路徑>
其中 <資訊清單檔案路徑> 是元件的資訊清單檔案完整路徑。
您可以使用下列選用設定執行公用程式:
-V,--verbose– 顯示有關已成功檢查檔案和模組的其他資訊。若未指定此設定,則只會顯示檢查結果 (成功/失敗)、與錯誤和一般檢查統計資料相關的資訊。-L,--log-file <檔案>,其中<檔案>是在記錄掃描期間發生事件的檔案名稱。預設情況下,會將這些事件傳送至標準 stdout 串流。-l,--log-level <0-1000>,其中<0-1000>是事件的冗餘等級。預設冗餘等級為 0。
您可以在公用程式選項說明中檢視所有可用完整性檢查公用程式選項的說明。為此,請以 -h [--help] 設定執行公用程式。
應用程式元件完整性檢查結果
應用程式元件完整性檢查結果顯示如下:
SUCCEEDED– 已確認檔案和模組的完整性 (傳回代碼0)。FAILED– 未確認檔案的完整性 (傳回0以外的代碼)。