应用程序组件完整性检查

Kaspersky Endpoint Security 包含许多不同的二进制模块,其形式有动态链接库、可执行文件、配置文件和接口文件。入侵者可以将一个或多个应用程序可执行模块或文件替换为包含恶意代码的其他文件。为了防止模块和文件的替换,Kaspersky Endpoint Security 会检查应用程序组件的完整性。应用程序会检查模块和文件是否有未经授权的更改或损坏。如果某个应用程序模块或文件的校验码不正确,则其被认为已损坏。

如果设备上安装了以下应用程序组件,则会对其进行完整性检查:

该应用程序检查名为清单文件的特殊列表中的文件的完整性。每个应用程序组件都有自己的清单文件,其中包含应用程序文件的列表,这些程序文件的完整性对于此应用程序组件的正确工作至关重要。每个组件的清单文件名相同,但清单文件的内容不同。清单文件经过数字签名,其完整性也得到检查。

使用 integrity_checker 实用程序检查应用程序组件的完整性。

完整性检查实用程序必须在具有 root 权限的帐户下运行。

要检查完整性,您可以使用随应用程序一起安装的实用程序或经过认证的 CD 上分发的实用程序。

推荐从认证的 CD 上运行完整性检查实用程序,以确保该实用程序的完整性。从 CD 运行该实用程序时,请指定清单文件的完整路径。

与应用程序一起安装的完整性检查实用程序位于以下路径中:

清单文件位于以下路径中:

要检查应用程序组件的完整性,请运行以下命令:

默认路径表示清单文件与完整性检查实用程序位于同一目录。

您可以使用以下可选设置运行该实用程序:

您可以通过运行 integrity_checker --help 命令,查看实用程序选项帮助中所有可用的完整性检查实用程序设置说明。

检查清单文件的结果如下所示:

如果在应用程序启动时检测到应用程序或网络代理的完整性被破坏,Kaspersky Endpoint Security 会在事件日志和 Kaspersky Security Center 中生成 IntegrityCheckFailed 事件。

页面顶部