Kaspersky Endpoint Security 包含许多不同的二进制模块,其形式有动态链接库、可执行文件、配置文件和接口文件。入侵者可以将一个或多个应用程序可执行模块或文件替换为包含恶意代码的其他文件。为了防止模块和文件的替换,Kaspersky Endpoint Security 会检查应用程序组件的完整性。应用程序会检查模块和文件是否有未经授权的更改或损坏。如果某个应用程序模块或文件的校验码不正确,则其被认为已损坏。
如果设备上安装了以下应用程序组件,则会对其进行完整性检查:
该应用程序检查名为清单文件的特殊列表中的文件的完整性。每个应用程序组件都有自己的清单文件,其中包含应用程序文件的列表,这些程序文件的完整性对于此应用程序组件的正确工作至关重要。每个组件的清单文件名相同,但清单文件的内容不同。清单文件经过数字签名,其完整性也得到检查。
使用 integrity_checker 实用程序检查应用程序组件的完整性。
完整性检查实用程序必须在具有 root 权限的帐户下运行。
要检查完整性,您可以使用随应用程序一起安装的实用程序或经过认证的 CD 上分发的实用程序。
推荐从认证的 CD 上运行完整性检查实用程序,以确保该实用程序的完整性。从 CD 运行该实用程序时,请指定清单文件的完整路径。
与应用程序一起安装的完整性检查实用程序位于以下路径中:
清单文件位于以下路径中:
要检查应用程序组件的完整性,请运行以下命令:
integrity_checker [<清单文件的路径>] --signature-type kds-with-filename
integrity_checker [<清单文件的路径>]
默认路径表示清单文件与完整性检查实用程序位于同一目录。
您可以使用以下可选设置运行该实用程序:
--crl <目录> – 包含证书吊销列表的目录的路径。--version – 显示实用程序的版本。--verbose – 显示有关已执行的操作及其结果的详细信息。如果您未指定此设置,则将仅显示错误、未通过检查的对象以及扫描统计信息摘要。--trace <文件名>,其中 <文件名> 是将以 DEBUG 细节级别记录扫描期间发生的事件的文件的名称。--signature-type kds-with-filename – 要检查的签名类型(检查应用程序软件包、图形用户界面软件包和网络代理时需要此设置)。--single-file <文件> – 仅扫描清单中的一个文件;忽略清单中的其他对象。您可以通过运行 integrity_checker --help 命令,查看实用程序选项帮助中所有可用的完整性检查实用程序设置说明。
检查清单文件的结果如下所示:
SUCCEEDED — 已确认文件的完整性(返回码 0)。FAILED – 未确认文件的完整性(返回码不是 0)。如果在应用程序启动时检测到应用程序或网络代理的完整性被破坏,Kaspersky Endpoint Security 会在事件日志和 Kaspersky Security Center 中生成 IntegrityCheckFailed 事件。
页面顶部