Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Сканирование YARA представляет собой процессы, которые вы можете создавать и настраивать вручную через интерфейс командной строки. Для запуска сканирования используются YARA-файлы.
В задаче сканирования YARA можно указать только файл с YARA-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи сканирования YARA.
Чтобы запустить сканирование YARA через интерфейс командной строки:
Например, вы можете ввести команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent
\" и нажать на клавишу Enter.
agent.exe --scan-yara [<
путь к yara-файлу>] [--path=<
путь к папке с yara-правилами
>] [--fast-scan] [--tag-hint=<тег правила
>] [--id-hint=<
идентификатор правила>] [--max-rules=<
максимальное количество правил сканирования
>] [--timeout=<остановка сканирования по истечении указанного времени в секундах
>] [--recursive] [--scan_folders [<
список папок для сканирования>] [--scan-memory] [--scan-process <
имя процесса
>][--max-size=<размер файла в байтах
>] [--excludes <
список объектов для сканирования>] [--includes <
список объектов для сканирования
>]
Если команда --scan-yara
передана только с обязательными параметрами, Kaspersky Endpoint Agent выполняет проверку с параметрами по умолчанию.
Описание параметров сканирования представлено в следующей таблице.
Параметры команд при запуске и настройке сканирования YARA
Параметры |
Описание |
|
Обязательный параметр. Запускает сканирование YARA на устройстве. Проверка выполняется по правилам из YARA-файлов с расширением yara или yar. |
|
Путь к папке с YARA-файлами, по которым требуется выполнять поиск. |
|
Необязательный параметр. |
|
Необязательный параметр. |
|
Необязательный параметр. |
|
Необязательный параметр. |
|
Необязательный параметр. |
|
Необязательный параметр. |
Необязательный параметр. |
|
|
Необязательный параметр. |
|
Необязательный параметр. |
|
Необязательный параметр. |
Необязательный параметр.
|
|
Необязательный параметр.
|
Коды возврата команды --scan-yara
:
-1
– команда не поддерживается версией Kaspersky Endpoint Agent, которая установлена на устройстве.0
– команда выполнена успешно.1
– команде не передан обязательный аргумент.2
– общая ошибка.4
– синтаксическая ошибка.5
– не найден один или несколько файлов с YARA-правилами из указанных в значении параметра. Если команда была выполнена успешно (код 0
) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Agent выводит в командную строку результаты сканирования. Описание результатов сканирования представлено в следующей таблице:
Данные, которые программа выводит в командную строку при обнаружении сигнатур YARA.
|
Смещение в объекте, для которого Kaspersky Endpoint Agent выполняет сканирование. |
|
Сигнатуры, которые Kaspersky Endpoint Agent ищет во время сканирования. |
|
Имя объекта сканирования. |
|
Имя правила, которое используется во время сканирования. |