Nachdem ein infiziertes Objekt entfernt wurde, platziert Kaspersky Endpoint Security dieses Objekt im Speicher.
Sie können die EICAR-Testdatei nutzen, um die Speicherfunktion zu überprüfen. Dieser Test-"Virus" wurde vom European Institute for Computer Antivirus Research (EICAR) zur Überprüfung der Funktionsfähigkeit von Antiviren-Programmen entwickelt.
Die EICAR-Testdatei ist kein Virus und enthält keinen Programmcode, der Ihren Computer beschädigt. Dennoch erkennen sie die meisten Antiviren-Programme als Bedrohung.
Die Datei, die den Test-"Virus" enthält wird "eicar.com" genannt. Sie können diese Datei von der EICAR-Website herunterladen.
Um die Speicherfunktion zu überprüfen:
curl https://www.eicar.org/download/eicar.com.txt -o /root/eicar.com.txt
echo -n 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > standard
Die Testdatei wird entweder nach wenigen Sekunden oder sofort beim Versuch sie zu öffnen gelöscht.
kesl-control -B –query
Beide Testdateien wurden im Speicher platziert.
FileName
-Feld enthalten:kesl-control -B --query "FileName like '%standard%'"
kesl-control -E --query "Date > '1588252951'"
Weitere Informationen zur Verwendung von Abfragen entnehmen Sie dem Abschnitt zur Verwendung logischer Ausdrücke.
ObjectId
-Feldes wiederherzustellen:kesl-control -B --restore 1
Die Datei wird an ihrem ursprünglichen Ort wiederhergestellt. Da der ls
-Befehl die Datei nicht öffnet, wird sie von der Aufgabe zum Schutz vor bedrohlichen Dateien nicht gelöscht. Wenn Sie jedoch den cat
-Befehl auf sie verwenden, wird die Datei erkannt, gelöscht und in den Speicher verschoben.
kesl-control -B --restore 2 --file /tmp/newfile
Die Datei wird an dem angegeben Ort wiederhergestellt.