Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Сканирование YARA для точек автозапуска представляет собой процессы, которые вы можете создавать и настраивать вручную через интерфейс командной строки. Для запуска сканирования используются YARA-файлы.
В задаче сканирования YARA для объектов точек автозапуска можно указать только файл с YARA-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи сканирования YARA.
По умолчанию сканирование объектов по правилам YARA осуществляется для следующих типов точек автозапуска:
Чтобы запустить сканирование YARA для точек автозапуска через интерфейс командной строки:
cd
перейдите в папку, где находится файл agent.exe.Например, вы можете ввести команду cd
"C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent
\" и нажать на клавишу Enter.
agent.exe --scan-yara [<
путь к yara-файлу>] [--path=<
путь к папке с yara-правилами
>] --scan-autoruns=yes [--fast-scan] [--tag-hint=<тег правила
>] [--id-hint=<
идентификатор правила>] [--max-rules=<
максимальное количество правил сканирования
>] [--timeout=<остановка сканирования по истечении указанного времени в секундах
>] [--max-size=<
размер файла в байтах>] [--exclude-autoruns=COM]
Если команда --scan-yara
--scan-autoruns
передана только с обязательными параметрами, Kaspersky Endpoint Agent выполняет проверку с параметрами по умолчанию.
Описание параметров сканирования представлено в следующей таблице.
Параметры команд при запуске и настройке сканирования YARA
Параметры |
Описание |
|
Обязательный параметр. Запускает сканирование YARA для файлов точек автозапуска на устройстве. Проверка выполняется по правилам из YARA-файлов с расширением yara или yar. |
|
Путь к папке с YARA-файлами, по которым требуется выполнять поиск файлов точек автозапуска. |
|
Обязательный параметр. Параметр обращается к точкам автозапуска и сканирует объекты для всех типов точек автозапуска по указанным YARA-правилам. |
|
Необязательный параметр. |
|
Необязательный параметр. |
|
Необязательный параметр. |
|
Необязательный параметр. |
|
Необязательный параметр. |
|
Необязательный параметр. |
|
Необязательный параметр. В полученных списках точек автозапуска для COM-объектов могут отсутствовать сборки компонентов, написанные на .NET ввиду особенностей их регистрации в системе. |
Коды возврата команды --scan-yara
:
-1
– команда не поддерживается версией Kaspersky Endpoint Agent, которая установлена на устройстве.0
– команда выполнена успешно.1
– команде не передан обязательный аргумент.2
– общая ошибка.4
– синтаксическая ошибка.5
– не найден один или несколько файлов с YARA-правилами из указанных в значении параметра. Если команда была выполнена успешно (код 0
) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Agent выводит в командную строку результаты сканирования. Описание результатов сканирования представлено в следующей таблице:
Данные, которые программа выводит в командную строку при обнаружении сигнатур YARA.
|
Смещение в объекте, для которого Kaspersky Endpoint Agent выполняет сканирование. |
|
Сигнатуры, которые Kaspersky Endpoint Agent ищет во время сканирования. |
|
Имя объекта сканирования. |
|
Имя правила, которое используется во время сканирования. |