После удаления зараженного объекта Kaspersky Endpoint Security помещает этот объект в хранилище.
Для проверки работы хранилища можно использовать тестовый файл EICAR. Этот тестовый вирус был разработан Европейским институтом компьютерных антивирусных исследований (EICAR) для проверки работы антивирусных программ.
Тестовый файл EICAR не является вирусом и не содержит программного кода, который может нанести вред компьютеру, но большинство антивирусных программ идентифицируют его как угрозу.
Файл, содержащий тестовый вирус, называется eicar.com. Его можно загрузить с сайта EICAR.
Чтобы проверить работу хранилища, выполните следующие действия:
curl https://www.eicar.org/download/eicar.com.txt -o /root/eicar.com.txt
echo -n 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > standard
При попытке открытия тестовый файл удалится немедленно или через несколько секунд.
kesl-control -B –query
Оба тестовых файла помещены в хранилище.
FileName:kesl-control -B --query "FileName like '%standard%'"
kesl-control -B --query "AddTime > '1588252951'"
Дополнительная информация об использовании запросов приведена в разделе Использование логических выражений.
ObjectId:kesl-control -B --restore 1
Файл будет восстановлен в исходное местоположение. Команда ls не открывает файл, поэтому задача Защита от файловых угроз не удаляет его. Но при использовании команды cat файл будет обнаружен и удален, а также помещен в хранилище.
kesl-control -B --restore 2 --file /tmp/newfile
Файл будет восстановлен в указанное местоположение.