Управление сканированием объектов точек автозапуска по YARA-правилам

Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Сканирование YARA для точек автозапуска представляет собой процессы, которые вы можете создавать и настраивать вручную через интерфейс командной строки. Для запуска сканирования используются YARA-файлы.

В задаче сканирования YARA для объектов точек автозапуска можно указать только файл с YARA-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи сканирования YARA.

По умолчанию сканирование объектов по правилам YARA осуществляется для следующих типов точек автозапуска:

Logon
Run
Explorer
Shell
Office
Internet Explorer
Tasks
Services
Drivers
Telephony
Cryptography
Debuggers
COM
Session Manager
Network
LSA
Applications
Codecs
Shellex
Unspecified

Чтобы запустить сканирование YARA для точек автозапуска через интерфейс командной строки:

На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
С помощью команды cd перейдите в папку, где находится файл agent.exe.
Например, вы можете ввести команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажать на клавишу Enter.
Выполните следующую команду и нажмите на клавишу Enter:
agent.exe --scan-yara [<путь к yara-файлу>] [--path=<путь к папке с yara-правилами>] --scan-autoruns=yes [--fast-scan] [--tag-hint=<тег правила>] [--id-hint=<идентификатор правила>] [--max-rules=<максимальное количество правил сканирования>] [--timeout=<остановка сканирования по истечении указанного времени в секундах>] [--max-size=<размер файла в байтах>] [--exclude-autoruns=COM]

Если команда --scan-yara --scan-autoruns передана только с обязательными параметрами, Kaspersky Endpoint Agent выполняет проверку с параметрами по умолчанию.

Описание параметров сканирования представлено в следующей таблице.

Параметры команд при запуске и настройке сканирования YARA

Параметры	Описание
`--scan-yara [<полный путь к yara-файлу>]`	Обязательный параметр. Запускает сканирование YARA для файлов точек автозапуска на устройстве. Проверка выполняется по правилам из YARA-файлов с расширением yara или yar. Параметру может быть передано несколько значений через пробел. Хотя бы одно значение <`полный путь к yara-файлу`> должно быть указано, если не задан параметр --path. Если в дополнение к аргументам параметра `--scan-yara --scan-autoruns` также задан параметр `--path`, при сканировании используются как указанные в аргументах файлы с YARA-правилами, так и файлы из папки параметра `--path`.
`--path=<путь к папке с yara-файлами>`	Путь к папке с YARA-файлами, по которым требуется выполнять поиск файлов точек автозапуска. Обязательный параметр, если не задан параметр `<полный путь к yara-файлу>`.
`--scan-autoruns=yes`	Обязательный параметр. Параметр обращается к точкам автозапуска и сканирует объекты для всех типов точек автозапуска по указанным YARA-правилам. Для запуска сканирования необходимо передать значение `yes`. Если значение параметра не указано, параметр будет проигнорирован.
`--fast-scan`	Необязательный параметр. Параметр запускает проверку в режиме быстрого сканирования. Для каждого объекта сканирования в журнале фиксируется одно вхождение обнаруженного маркера, при этом дубликаты обнаруженных маркеров не отображаются в журнале. Использование этого параметра позволяет сократить время проверки больших файлов. Если параметр не передан, выполняется стандартная проверка и дубликаты обнаруженных маркеров отображаются в журнале.
`--tag-hint=<тег правила>`	Необязательный параметр. Параметр позволяет учитывать при сканировании только правила с указанным тегом. Можно указать только одно значение параметра. Правила без тегов или с другими тегами, помимо указанных в параметре, игнорируются при сканировании. Если параметр не передан, при сканировании учитываются все правила.
`--id-hint=<идентификатор правила>`	Необязательный параметр. Параметр позволяет учитывать при сканировании только правила с указанным идентификатором. Можно указать только одно значение параметра. Правила без идентификаторов или с другими идентификаторами, помимо указанных в параметре, игнорируются при сканировании. Если параметр не передан, при сканировании учитываются все правила.
`--max-rules=<максимальное количество правил сканирования>`	Необязательный параметр. Параметр задает лимит уникальных сработавших правил обнаружения, при превышении которого проверка прекращается. Если значение параметра не задано или равно 0, проверка выполняется без ограничений.
`--timeout=<остановка сканирования по истечении указанного времени в секундах>`	Необязательный параметр. Параметр указывает продолжительность проверки каждого объекта в секундах. По истечении указанного времени проверка будет остановлена. Если значение параметра не задано или равно 0, проверка выполняется без ограничений.
`--max-size=<размер файла в байтах>`	Необязательный параметр. Сканирование выполняется только для тех файлов, размер которых не превышает заданное значение. Файлы большего размера пропускаются при сканировании.
`--exclude-autoruns=<список объектов для сканирования>`	Необязательный параметр. Параметр исключает из сканирования файлы в указанной точке автозапуска. Можно задать несколько значений параметра через пробел. Доступное значение: COM (в настоящее время поддерживается исключение только этого типа точек автозапуска). Пример: `--exclude-autoruns=COM` При сканировании будут пропущены файлы из области точки автозапуска COM. Ограничения В полученных списках точек автозапуска для COM-объектов могут отсутствовать сборки компонентов, написанные на .NET ввиду особенностей их регистрации в системе.

Коды возврата команды --scan-yara:

-1 – команда не поддерживается версией Kaspersky Endpoint Agent, которая установлена на устройстве.
0 – команда выполнена успешно.
1 – команде не передан обязательный аргумент.
2 – общая ошибка.
4 – синтаксическая ошибка.
5 – не найден один или несколько файлов с YARA-правилами из указанных в значении параметра.

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Agent выводит в командную строку результаты сканирования. Описание результатов сканирования представлено в следующей таблице:

Данные, которые программа выводит в командную строку при обнаружении сигнатур YARA.

`Offset`	Смещение в объекте, для которого Kaspersky Endpoint Agent выполняет сканирование.
`Data`	Сигнатуры, которые Kaspersky Endpoint Agent ищет во время сканирования.
`Object Name`	Имя объекта сканирования.
`Rule Name`	Имя правила, которое используется во время сканирования.

В начало