Vérification de la fonction de stockage

Après avoir supprimé un objet infecté, Kaspersky Endpoint Security place cet objet dans le stockage.

Vous pouvez utiliser le fichier de test EICAR pour vérifier la fonction de stockage. Ce virus test a été développé par l'Institut européen pour la recherche des antivirus informatiques (EICAR) afin de vérifier le fonctionnement des programmes antivirus.

Le fichier test EICAR n'est pas un virus et ne contient pas de code de programme pouvant endommager votre ordinateur, mais la plupart des programmes antivirus l'identifient comme une menace.

Le fichier contenant le virus test s'appelle eicar.com. Vous pouvez le télécharger sur le site Web d'EICAR.

Pour vérifier la fonction de stockage :

  1. Téléchargez le fichier test sur Internet :

    curl https://www.eicar.org/download/eicar.com.txt -o /root/eicar.com.txt

  2. Créez un fichier test EICAR :

    echo -n 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > standard

    Le fichier test est supprimé après plusieurs secondes ou immédiatement si vous essayez de l'ouvrir.

  3. Vérifiez le stockage en exécutant la commande suivante :

    kesl-control -B –query

    Les deux fichiers test sont placés dans le stockage.

  4. Utilisez la requête pour afficher les fichiers test dans le stockage par nom de champ. Par exemple :
    • Recherchez tous les fichiers qui contiennent la norme dans le champ FileName :

      kesl-control -B --query "FileName like '%norme%'"

    • Recherchez tous les fichiers qui ont été déplacés vers le stockage après l'intervalle de temps spécifié dans le système d'horodatage UNIX (le nombre de secondes qui se sont écoulées depuis 00:00:00 (UTC), 1er janvier 1970) :

      kesl-control -B --query "AddTime > '1588252951'"

    Pour plus d'informations sur l'utilisation de la requête, reportez-vous à la section Utilisation d'expressions logiques.

  5. Essayez de restaurer un fichier en utilisant le champ ObjectId :

    kesl-control -B --restore 1

    Le fichier est restauré à son emplacement d'origine. La commande ls n'ouvre pas le fichier, il n'est donc pas supprimé par la tâche de protection contre les menaces sur les fichiers. Mais lorsque vous le capturez, le fichier sera détecté et supprimé, et déplacé vers le stockage.

  6. Essayez de restaurer le deuxième fichier test à un emplacement différent :

    kesl-control -B --restore 2 --file /tmp/newfile

    Le fichier est restauré à l'emplacement spécifié.

  7. Si nécessaire, supprimez des objets du stockage à l'aide du système de requête.
Haut de page