应用程序组件完整性检查

Kaspersky Endpoint Security 包含许多不同的二进制模块，其形式有动态链接库、可执行文件、配置文件和接口文件。入侵者可以将一个或多个应用程序可执行模块或文件替换为包含恶意代码的其他文件。为了防止模块和文件的替换，Kaspersky Endpoint Security 会检查应用程序组件的完整性。应用程序会检查模块和文件是否有未经授权的更改或损坏。如果某个应用程序模块或文件的校验码不正确，则其被认为已损坏。

如果设备上安装了以下应用程序组件，则会对其进行完整性检查：

• 应用程序包
• 图形用户界面软件包
• Kaspersky Security Center 网络代理程序包
• Kaspersky Endpoint Security 管理 Web 插件
• Kaspersky Endpoint Security MMC 管理插件

使用完整性检查实用程序检查应用程序组件的完整性。该实用程序检查名为清单文件的特殊列表中的文件的完整性。每个应用程序组件都有自己的清单文件，其中包含应用程序文件的列表，这些程序文件的完整性对于此应用程序组件的正确工作至关重要。每个组件的清单文件名相同，但清单文件的内容不同。清单文件经过数字签名，其完整性也得到检查。

要在 Linux 设备上运行完整性检查实用程序，需要具有 root 权限的账户。在 Windows 设备上运行完整性检查实用程序需要管理员账户。

完整性检查实用程序与应用程序一起安装，位于以下路径中：

• 要检查应用程序软件包、图形用户界面软件包和网络代理：/opt/kaspersky/kesl/bin/integrity_checker。
• 检查 Kaspersky Endpoint Security MMC 管理插件：
  • %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\Plugins\kesl_<版本编号>.plg\integrity_checker.exe – 适用于 32 位操作系统
  • %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Plugins\kesl_<版本编号>.plg\integrity_checker.exe — 适用于 64 位操作系统
• 检查 Kaspersky Endpoint Security 管理 Web 插件：
  • %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center Web Console\integrity_checker.exe – 在装有 Windows 操作系统的设备上
  • /var/opt/kaspersky/ksc-web-console/integrity_checker – 在装有 Linux 操作系统的设备上

清单文件位于以下路径中：

• 要检查应用程序包的完整性：/opt/kaspersky/kesl/bin/integrity_check.xml。
• 要检查图形用户界面包的完整性：/opt/kaspersky/kesl/bin/gui_integrity_check.xml。
• 检查网络代理：
  • /opt/kaspersky/klnagent/bin/kl_file_integrity_manifest.xml – 适用于 32 位操作系统
  • /opt/kaspersky/klnagent64/bin/kl_file_integrity_manifest.xml – 适用于 64 位操作系统
• 检查 Kaspersky Endpoint Security MMC 管理插件：
  • %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\Plugins\kesl_<插件版本>.plg\integrity_check.xml – 适用于 32 位操作系统
  • %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Plugins\kesl_<插件版本>.plg\integrity_check.xml – 适用于 64 位操作系统
• 检查 Kaspersky Endpoint Security 管理 Web 插件：
  • %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center Web Console\server\plugins\kesl_<版本编号>\integrity_check.xml – 在装有 Windows 操作系统的设备上
  • /var/opt/kaspersky/ksc-web-console/server/plugins/kesl_<版本编号>\integrity_check.xml – 在装有 Linux 操作系统的设备上

要检查解决方案组件的完整性，您需要从该组件工具的文件夹运行该工具。

要运行完整性检查实用程序，请运行以下命令之一：

• 要检查应用程序软件包和图形用户界面软件包的完整性：

  integrity_checker [<清单文件的路径>] --signature-type kds-with-filename

• 要检查 Kaspersky Endpoint Security MMC 管理插件的完整性：

  integrity_checker.exe [<清单文件的路径>]

• 要检查 Linux 操作系统设备上 Kaspersky Endpoint Security 管理 Web 插件和网络代理的完整性：

  integrity_checker [<清单文件的路径>]

• 要在 Windows 设备上检查 Kaspersky Endpoint Security 管理 Web 插件的完整性：

  integrity_checker.exe [<清单文件的路径>]

默认路径表示清单文件与完整性检查实用程序位于同一目录。

您可以使用以下可选设置运行该实用程序：

• --crl <目录>— 包含证书吊销列表的目录的路径。
• --version— 显示实用程序的版本。
• --verbose— 显示有关已执行的操作及其结果的详细信息。如果您未指定此设置，则将仅显示错误、未通过检查的对象以及扫描统计数据摘要。
• --trace <文件名>，其中 <文件名> 是将以 DEBUG 细节级别记录扫描期间发生的事件的文件的名称。
• --signature-type kds-with-filename— 要检查的签名类型（检查应用程序软件包、图形用户界面软件包和网络代理时需要此设置）。
• --single-file <文件>— 仅扫描清单中的一个文件；忽略清单中的其他对象。

您可以通过运行 integrity_checker --help 命令，查看实用程序选项帮助中所有可用的完整性检查实用程序设置说明。

检查清单文件的结果如下所示：

• SUCCEEDED — 已确认文件的完整性（返回码 0）。
• FAILED— 未确认文件的完整性（返回码不是 0）。

如果在应用程序启动时检测到应用程序或网络代理的完整性被破坏，Kaspersky Endpoint Security 会在事件日志和 Kaspersky Security Center 中生成相应的事件。

页面顶部