Проверка целостности компонентов приложения

Приложение Kaspersky Endpoint Security содержит множество различных бинарных модулей в виде динамически подключаемых библиотек, исполняемых файлов, конфигурационных файлов и файлов интерфейса. Злоумышленники могут заменить один или несколько исполняемых модулей или файлов приложения другими файлами, содержащими вредоносный код. Чтобы предотвратить такую замену модулей и файлов, в приложении Kaspersky Endpoint Security предусмотрена проверка целостности компонентов приложения. Приложение проверяет модули и файлы на наличие неавторизованных изменений и повреждений. Если модуль или файл приложения имеет некорректную контрольную сумму, то он считается поврежденным.

Проверка целостности выполняется для следующих компонентов приложения, если они установлены на устройстве:

• пакет приложения;
• пакет графического пользовательского интерфейса;
• пакет Агента администрирования Kaspersky Security Center;
• плагин управления приложением Kaspersky Endpoint Security.

Приложение проверяет целостность файлов, перечисленных в специальных списках, которые называются файлы манифеста. Для каждого компонента приложения существует свой файл манифеста, содержащий список файлов приложения, целостность которых важна для корректной работы этого компонента приложения. Имя файла манифеста для каждого компонента одно и тоже, но содержимое файлов манифестов различается. Файлы манифеста подписаны цифровой подписью, их целостность также проверяется.

Проверка целостности компонентов приложения выполняется с помощью утилиты проверки целостности integrity_checker.

Утилиту проверки целостности требуется запускать под учетной записью с root-правами.

Для проверки целостности вы можете использовать как утилиту, устанавливаемую вместе с приложением, так и утилиту, поставляемую на сертифицированном CD-диске.

Рекомендуется запускать утилиту проверки целостности с сертифицированного CD-диска, чтобы гарантировать целостность утилиты проверки. При запуске утилиты с CD-диска требуется указать полный путь к файлу манифеста.

Утилита проверки целостности, устанавливаемая вместе с приложением, расположена по следующим путям:

• для проверки пакета приложения, пакета графического пользовательского интерфейса и Агента администрирования: /opt/kaspersky/kesl/bin/integrity_checker;
• для проверки плагина управления Kaspersky Endpoint Security – в директории, где расположены исполняемые модули (DLL) плагина управления:
  • C:\Program Files\Kaspersky Lab\Kaspersky Security Center\Plugins\<версия плагина>.linux.plg\integrity_checker.exe – для 32-битных операционных систем;
  • C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\Plugins\<версия плагина>.linux.plg\integrity_checker.exe – для 64-битных операционных систем.

Файлы манифеста расположены по следующим путям:

• /opt/kaspersky/kesl/bin/integrity_check.xml – для проверки целостности пакета приложения;
• /opt/kaspersky/kesl/bin/gui_integrity_check.xml – для проверки целостности пакета графического пользовательского интерфейса;
• /opt/kaspersky/klnagent/bin/kl_file_integrity_manifest.xml – для проверки Агента администрирования для 32-битных операционных систем;
• /opt/kaspersky/klnagent64/bin/kl_file_integrity_manifest.xml – для проверки Агента администрирования для 64-битных операционных систем.

Чтобы проверить целостность компонентов приложения, выполните следующую команду:

• для проверки пакета приложения и пакета графического пользовательского интерфейса:

  integrity_checker [<путь к файлу манифеста>] --signature-type kds-with-filename

• для проверки плагина управления Kaspersky Endpoint Security и Агента администрирования:

  integrity_checker [<путь к файлу манифеста>]

По умолчанию используется путь к файлу манифеста, расположенному в той же директории, в которой расположена утилита проверки целостности.

Вы можете запустить утилиту со следующими необязательными параметрами:

• --crl <директория> – путь к директории, содержащей список отозванных сертификатов (Certificate Revocation List).
• --version – отобразить версию утилиты.
• --verbose – детализировать вывод информации о выполненных действиях и результатах. Если вы не укажете этот параметр, будут отображаться только ошибки, объекты, не прошедшие проверку, и общая статистика проверки.
• --trace <имя файла>, где <имя файла> – имя файла, в который будут записываться события с уровнем детализации DEBUG, произошедшие во время проверки.
• --signature-type kds-with-filename – тип проверяемой сигнатуры (этот параметр является обязательным для проверки пакета приложения, пакета графического пользовательского интерфейса и Агента администрирования).
• --single-file <файл> – проверить только один файл, входящий в состав манифеста, остальные объекты манифеста игнорировать.

Вы можете просмотреть описание всех доступных параметров утилиты проверки целостности в справке параметров утилиты, выполнив команду integrity_checker --help.

Результат проверки файла манифеста отображается в следующем виде:

• SUCCEEDED – целостность файлов подтверждена (код возврата 0).
• FAILED – целостность файлов не подтверждена (код возврата отличен от 0).

Если при запуске приложения обнаружено нарушение целостности приложения или Агента администрирования, приложение Kaspersky Endpoint Security формирует событие IntegrityCheckFailed в журнале событий и в Kaspersky Security Center.

В начало