Kaspersky Endpoint Security enthält eine Vielzahl verschiedener binärer Module in Form von dynamisch verbundenen Bibliotheken, ausführbaren Dateien, Konfigurationsdateien und Dateien der Oberfläche. Angreifer können ein oder mehrere ausführbare Module oder Dateien der App durch andere Dateien ersetzen, die bösartigen Code enthalten. Um einen solchen Austausch von Modulen und Dateien zu verhindern, bietet Kaspersky Endpoint Security die Funktion zur Integritätsprüfung der App-Komponenten. Die App überprüft Module und Dateien auf nicht autorisierte Änderungen und Schäden. Ein Modul oder eine Datei von der App mit einer nicht korrekten Prüfsumme gilt als beschädigt.
Eine Integritätsprüfung wird für die folgenden App-Komponenten durchgeführt, sofern diese auf dem Gerät installiert sind:
Die App überprüft die Integrität der Dateien, die in gesonderten Listen aufgeführt sind und Manifestdateien genannt werden. Jede App-Komponente verfügt über ihre eigene Manifestdatei, die eine Liste von App-Dateien enthält, deren Integrität für den korrekten Betrieb dieser App-Komponente wichtig ist. Der Name der Manifestdatei ist für jede Komponente gleich, der Inhalt der Manifestdateien ist jedoch unterschiedlich. Die Manifestdateien werden digital signiert. Auch ihre Integrität wird überprüft.
Die Integritätsprüfung der App-Komponenten erfolgt mit dem Tool zur Integritätsprüfung "integrity_checker".
Die Integritätsprüfung muss unter einem Konto mit Root-Rechten ausgeführt werden.
Zur Integritätsprüfung können Sie sowohl das mit der App installierte Tool nutzen als auch ein Tool, das sich auf einer zertifizierten CD befindet.
Es wird empfohlen, das Tool zur Integritätsprüfung von einer zertifizierten CD zu starten, um die Integrität des Tools sicherzustellen. Wenn Sie das Tool von der CD ausführen, müssen Sie den vollständigen Pfad zur Manifestdatei angeben.
Das mit der App installierte Tool zur Integritätsprüfung befindet sich unter den folgenden Pfaden:
Die Manifestdateien finden Sie unter den folgenden Pfaden:
Führen Sie den folgenden Befehl aus, um die Integrität von App-Komponenten zu überprüfen:
integrity_checker [<
Pfad zur Manifestdatei
>] --signature-type kds-with-filename
integrity_checker [<
Pfad zur Manifestdatei
>]
Standardmäßig wird der Pfad zum Manifest verwendet, die sich in dem Verzeichnis befindet, in dem das Tool zur Integritätsprüfung ausgeführt wird.
Das Tool kann mit den folgenden optionalen Einstellungen ausgeführt werden:
--crl <
Verzeichnis
>
– Pfad des Verzeichnisses mit der Liste der widerrufenen Zertifikate (Zertifikatssperrliste).--version
– Zeigt die Version des Tools an.--verbose
– Ausführliche Ausgabe der durchgeführten Aktionen und Ergebnisse. Wenn Sie diese Einstellung nicht angeben, werden nur Fehler, Objekte, welche die Prüfung nicht bestanden haben, und die Gesamtstatistik der Untersuchung angezeigt.--trace <
Dateiname
>
, wobei <
Dateiname
>
der Name der Datei ist, in der Ereignisse mit der Informationstiefe DEBUG aufgezeichnet werden, die während der Untersuchung aufgetreten sind.--signature-type kds-with-filename
– Typ der zu prüfenden Signatur (dieser Parameter ist obligatorisch für die Überprüfung des App-Pakets, des Pakets für die grafische Benutzeroberfläche und des Administrationsagenten). --single-file <
Datei
>
– Überprüft nur eine im Manifest enthaltene Datei – die restlichen Manifest-Objekte werden ignoriert.Eine Beschreibung aller verfügbaren Einstellungen des Tools zur Integritätsprüfung finden Sie in der Hilfe zu den Einstellungen des Tools, die Sie mithilfe des Befehls integrity_checker --help
aufrufen.
Das Ergebnis der Überprüfung der Manifestdatei wird wie folgt angezeigt:
SUCCEEDED
– Die Integrität der Dateien wurde bestätigt (Rückgabecode 0).FAILED
– Die Integrität der Dateien konnte nicht bestätigt werden (Rückgabecode ist nicht 0).Wenn bei Starten der App ermittelt wird, dass die Integrität der App oder des Administrationsagenten verletzt ist, erstellt Kaspersky Endpoint Security das Ereignis IntegrityCheckFailed im Ereignisprotokoll und in Kaspersky Security Center.
Nach oben