Управление сканированием файлов и процессов по YARA-правилам

Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Сканирование YARA представляет собой процессы, которые вы можете создавать и настраивать вручную через интерфейс командной строки. Для запуска сканирования используются YARA-файлы.

В задаче сканирования YARA можно указать только файл с YARA-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи сканирования YARA.

Чтобы запустить сканирование YARA через интерфейс командной строки, выполните следующие действия:

  1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
  2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

    Например, вы можете ввести команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажать на клавишу Enter.

  3. Выполните следующую команду и нажмите на клавишу Enter:

    agent.exe --scan-yara [<путь к yara-файлу>] [--path=<путь к папке с yara-правилами>] [--fast-scan] [--tag-hint=<тег правила>] [--id-hint=<идентификатор правила>] [--max-rules=<максимальное количество правил сканирования>] [--timeout=<остановка сканирования по истечении указанного времени в секундах>] [--recursive] [--scan_folders [<список папок для сканирования>] [--scan-memory] [--scan-process <имя процесса>][--max-size=<размер файла в байтах>] [--excludes <список объектов для сканирования>] [--includes <список объектов для сканирования>]

    Если команда --scan-yara передана только с обязательными параметрами, Kaspersky Endpoint Agent выполняет проверку с параметрами по умолчанию.

Описание параметров сканирования представлено в следующей таблице.

Параметры команд при запуске и настройке сканирования YARA

Параметры

Описание

--scan-yara [<полный путь к yara-файлу>]

Обязательный параметр.

Запускает сканирование YARA на устройстве. Проверка выполняется по правилам из YARA-файлов с расширением yara или yar.

Параметру может быть передано несколько значений через пробел.

Хотя бы одно значение <полный путь к yara-файлу> должен быть указано, если не задан параметр --path.

Если в дополнение к аргументам параметра --scan-yara также задан параметр --path, при сканировании используются как указанные в аргументах файлы с YARA-правилами, так и файлы из папки параметра --path.

--path=<путь к папке с yara-файлами>

Путь к папке с YARA-файлами, по которым требуется выполнять поиск.

Обязательный параметр, если не задан параметр <полный путь к yara-файлу>.

--fast-scan

Необязательный параметр.

Параметр запускает проверку в режиме быстрого сканирования. Для каждого объекта сканирования в журнале фиксируется одно вхождение обнаруженного маркера, при этом дубликаты обнаруженных маркеров не отображаются в журнале. Использование данного параметра позволяет сократить время проверки больших файлов.

Если параметр не передан, выполняется стандартная проверка и дубликаты обнаруженных маркеров отображаются в журнале.

--tag-hint=<тег правила>

Необязательный параметр.

Параметр позволяет учитывать при сканировании только правила с указанным тегом. Можно указать только одно значение параметра.
Правила без тегов или с другими тегами, помимо указанных в параметре, игнорируются при сканировании.

Если параметр не передан, при сканировании учитываются все правила.

--id-hint=<идентификатор правила>

Необязательный параметр.

Параметр позволяет учитывать при сканировании только правила с указанным идентификатором. Можно указать только одно значение параметра.
Правила без индентификаторов или с другими индентификаторами, помимо указанных в параметре, игнорируются при сканировании.

Если параметр не передан, при сканировании учитываются все правила.

--max-rules=<максимальное количество правил сканирования>

Необязательный параметр.

Параметр задаёт лимит уникальных сработавших правил обнаружения, при превышении которого проверка прекращается.

Если значение параметра не задано или равно 0, проверка выполняется без ограничений.

--timeout=<остановка сканирования по истечении указанного времени в секундах>

Необязательный параметр.

Параметр указывает продолжительность проверки в секундах. По истечении указанного времени проверка будет остановлена.

Если значение параметра не задано или равно 0, проверка выполняется без ограничений.

--recursive

Необязательный параметр.

Параметр запускает рекурсивную проверку вложенных папок в рамках значения [<список папок для сканирования>].

--scan_folders [<список папок для сканирования>]

Необязательный параметр.

Параметр запускает сканирование файлов по указанному списку папок.

Если значение параметра <список папок для сканирования> не задано, сканирование производится рекурсивно на всех локальных дисках, кроме сетевых, облачных и подключаемых.

--scan-memory

Необязательный параметр.

Параметр запускает сканирование памяти всех запущенных процессов.

--scan-process <имя процесса>

Необязательный параметр.

Параметр запускает сканирование памяти только для указанных процессов. Для значения <имя процесса> поддерживаются стандартные маски "?" и "*".

--max-size=<размер файла в байтах>

Необязательный параметр.

Сканирование выполняется только для тех файлов, размер которых не превышает заданное значение. Файлы большего размера пропускаются при сканировании.

--includes <список объектов для сканирования>

Необязательный параметр.

Параметр позволяет ограничить область сканирования. Можно задать несколько значений параметра через пробел. Доступные значения:

  • имя файла;
  • путь к файлу;
  • маска имени файла;
  • маска пути к файлу.

    Передается с параметром --scan-folders.

    Пример:
    --scan-folders c:\*.* --recursive --includes *.exe c:\temp\*.* *.dll – сканирование будет проведено для всех файлов с расширениями "exe" и "dll" на диске С:, а также будут просканированы рекурсивно все файлы в папке c:\temp

--excludes <список объектов для сканирования>

Необязательный параметр.

Параметр исключает указанные файлы или папки из сканирования. Можно задать несколько значений параметра через пробел. Доступные значения:

  • имя файла;
  • путь к файлу;
  • маска имени файла;
  • маска пути к файлу.

    Передается с параметром --scan-folders.

    Пример:
    --scan-folders c:\*.* --excludes readme.txt c:\trusted\*.* *.xml – при сканировании будут пропущены файлы readme.txt, все файлы из папки c:\trusted, а также все файлы с расширением xml в корневой папке на диске C:.

Коды возврата команды --scan-yara:

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Agent выводит в командную строку результаты сканирования. Описание результатов сканирования представлено в следующей таблице:

Данные, которые программа выводит в командную строку при обнаружении сигнатур YARA.

Offset

Смещение в объекте, для которого Kaspersky Endpoint Agent выполняет сканирование.

Data

Сигнатуры, которые Kaspersky Endpoint Agent ищет во время сканирования.

Object Name

Имя объекта сканирования.

Rule Name

Имя правила, которое используется во время сканирования.

В начало