Проверка целостности модулей с помощью утилит klscmodchk и integrity_checker

Kaspersky Security Center содержит двоичные модули в виде динамически подключаемых библиотек, исполняемых файлов, конфигурационных файлов и файлов интерфейса. Злоумышленники могут заменить один или несколько исполняемых модулей или файлов приложений другими файлами, содержащими вредоносный код. Для предотвращения подмены модулей и файлов в Kaspersky Security Center реализована проверка целостности компонентов с помощью утилит klscmodchk и integrity_checker. Эти утилиты проверяют модули и файлы на предмет несанкционированных изменений или повреждений. Если модуль или файл приложения имеют неверную контрольную сумму, они считаются поврежденными.

Утилита klscmodchk выполняет проверку целостности следующих компонентов Kaspersky Security Center:

• Сервер администрирования;
• Агент администрирования;
• Плагины управления для Консоли администрирования с файлами манифеста.

Утилита integrity_checker выполняет проверку целостности следующих компонентов Kaspersky Security Center:

• Сервер администрирования;
• Агент администрирования;
• Kaspersky Security Center Web Console.

Обе утилиты проверяют целостность модуля на основе файла манифеста kl_file_integrity_manifest.xml, который входит в сборку Kaspersky Security Center и находится в папке установки. Файл манифеста компонента содержит файлы, целостность которых важна для корректной работы компонента Kaspersky Security Center. Также проверяется целостность самих файлов манифеста.

Настоятельно не рекомендуется изменять файл манифеста kl_file_integrity_manifest.xml, так как цифровая подпись будет недействительна и это приведет к сбою проверки целостности.

Чтобы проверить целостность компонента Kaspersky Security Center, выполните одну из следующих команд:

• $ klscmodchk [параметры]

  Утилита klscmodchk запускает утилиту integrity_checker с параметром --verbose и проверяет целостность модулей.

  Параметры утилиты klscmodchk:

  • -logfile <log_file_path> – задает путь к файлу на диске для ведения журнала. По умолчанию информация выводится на консоли.
  • -chkplugins – проверяет целостность установленных модулей плагинов для Консоли администрирования, включающих файлы манифеста. По умолчанию подключаемые плагины управления не проверены.
  • -verbose – отображает расширенную информацию во время проверки целостности.
• $ integrity_checker [параметры] <путь_к_файлу_манифеста>

  Параметры утилиты integrity_checker:

  • --help – отображает справку утилиты integrity_checker.
  • --version – отображает версию утилиты integrity_checker.
  • --verbose – отображает информацию о работе утилиты. При выполнении проверки целостности достаточно использовать этот параметр в команде.

Результат проверки каждого файла манифеста отображается рядом с именем файла манифеста в следующем формате:

• SUCCEEDED – целостность файла подтверждена (код возврата 0).
• FAILED – целостность файла не подтверждена (ненулевой код возврата).

Вы также можете настроить автоматический запуск проверки целостности при запуске приложения. По умолчанию автоматическая проверка целостности выключена.

Чтобы включить автоматическую проверку целостности:

1. На устройстве, на котором установлен Сервер администрирования, в командной строке Windows выполните следующую команду:

   klscflag.exe -fset -pv klserver -n KLMODCHK_ENABLE_CHECKING -t d -v 1

2. Перезагрузите устройство.

Автоматическая проверка целостности будет включена.

При следующем запуске Kaspersky Security Center утилита klscmodchk запустится вместе с Сервером администрирования и запустит проверку целостности модулей. Результат проверки целостности записывается в журнал Kaspersky Event Log.

В начало