Überprüfen der Speicherfunktion

Nachdem ein infiziertes Objekt entfernt wurde, platziert Kaspersky Endpoint Security dieses Objekt im Speicher.

Sie können die EICAR-Testdatei nutzen, um die Speicherfunktion zu überprüfen. Dieser Test-"Virus" wurde vom European Institute for Computer Antivirus Research (EICAR) zur Überprüfung der Funktionsfähigkeit von Antiviren-Programmen entwickelt.

Die EICAR-Testdatei ist kein Virus und enthält keinen Programmcode, der Ihren Computer beschädigt. Dennoch erkennen sie die meisten Antiviren-Programme als Bedrohung.

Die Datei, die den Test-"Virus" enthält wird "eicar.com" genannt. Sie können diese Datei von der EICAR-Website herunterladen.

Um die Speicherfunktion zu überprüfen:

  1. Laden Sie die Testdatei aus dem Internet:

    curl https://www.eicar.org/download/eicar.com.txt -o /root/eicar.com.txt

  2. Erstellen Sie EICAR-Testdatei:

    echo -n 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > standard

    Die Testdatei wird entweder nach wenigen Sekunden oder sofort beim Versuch sie zu öffnen gelöscht.

  3. Führen Sie zur Überprüfung des Speichers den folgenden Befehl aus:

    kesl-control -B –query

    Beide Testdateien wurden im Speicher platziert.

  4. Verwenden Sie Abfragen, um die Testdateien im Speicher nach Feldnamen anzuzeigen. Beispiel:
    • Abfragen aller Dateien, die standard in ihrem FileName-Feld enthalten:

      kesl-control -B --query "FileName like '%standard%'"

    • Abfragen aller Dateien, die nach einem in Unixzeit (d. h. die Anzahl an Sekunden, die seit 00:00:00 (UTC), 1. Januar 1970 vergangen sind) angegeben Zeitintervall in den Speicher verschoben wurden:

      kesl-control -E --query "Date > '1588252951'"

    Weitere Informationen zur Verwendung von Abfragen entnehmen Sie dem Abschnitt zur Verwendung logischer Ausdrücke.

  5. Sie können versuchen, eine Datei unter Angabe ihres ObjectId-Feldes wiederherzustellen:

    kesl-control -B --restore 1

    Die Datei wird an ihrem ursprünglichen Ort wiederhergestellt. Da der ls-Befehl die Datei nicht öffnet, wird sie von der Aufgabe zum Schutz vor bedrohlichen Dateien nicht gelöscht. Wenn Sie jedoch den cat-Befehl auf sie verwenden, wird die Datei erkannt, gelöscht und in den Speicher verschoben.

  6. Sie können versuchen, die zweite Testdatei an einem anderen Ort wiederherzustellen:

    kesl-control -B --restore 2 --file /tmp/newfile

    Die Datei wird an dem angegeben Ort wiederhergestellt.

  7. Im Bedarfsfall können Sie die Objekte unter Verwendung des Abfragesystems aus dem Speicher entfernen.
Nach oben