Приложение Kaspersky Endpoint Security содержит множество различных бинарных модулей в виде динамически подключаемых библиотек, исполняемых файлов, конфигурационных файлов и файлов интерфейса. Злоумышленники могут заменить один или несколько исполняемых модулей или файлов приложения другими файлами, содержащими вредоносный код. Чтобы предотвратить такую замену модулей и файлов, в приложении Kaspersky Endpoint Security предусмотрена проверка целостности компонентов приложения. Приложение проверяет модули и файлы на наличие неавторизованных изменений и повреждений. Если модуль или файл приложения имеет некорректную контрольную сумму, то он считается поврежденным.
Проверка целостности выполняется для следующих компонентов приложения, если они установлены на устройстве:
Проверка целостности компонентов приложения выполняется с помощью утилиты проверки целостности. Утилита проверяет целостность файлов, перечисленных в специальных списках, которые называются файлы манифеста. Для каждого компонента приложения существует свой файл манифеста, содержащий список файлов приложения, целостность которых важна для корректной работы этого компонента приложения. Имя файла манифеста для каждого компонента одно и тоже, но содержимое файлов манифестов различается. Файлы манифеста подписаны цифровой подписью, их целостность также проверяется.
Для запуска утилиты проверки целостности на устройствах с операционными системами Linux требуется учетная запись с root-правами. Для запуска утилиты проверки целостности на устройствах с операционными системами Windows требуется учетная запись администратора.
Утилита проверки целостности устанавливается вместе с приложением и расположена по следующим путям:
Файлы манифеста расположены по следующим путям:
Чтобы проверить целостность компонента решения, вам нужно запустить утилиту из папки расположения утилиты для этого компонента.
Чтобы запустить утилиту проверки целостности, выполните одну из следующих команд:
integrity_checker [<путь к файлу манифеста>] --signature-type kds-with-filename
integrity_checker.exe [<путь к файлу манифеста>]
integrity_checker [<путь к файлу манифеста>]
integrity_checker.exe [<путь к файлу манифеста>]
По умолчанию используется путь к файлу манифеста, расположенному в той же директории, в которой расположена утилита проверки целостности.
Вы можете запустить утилиту со следующими необязательными параметрами:
--crl <директория> – путь к директории, содержащей список отозванных сертификатов (Certificate Revocation List).--version – отобразить версию утилиты.--verbose – детализировать вывод информации о выполненных действиях и результатах. Если вы не укажете этот параметр, будут отображаться только ошибки, объекты, не прошедшие проверку, и общая статистика проверки.--trace <имя файла>, где <имя файла> – имя файла, в который будут записываться события с уровнем детализации DEBUG, произошедшие во время проверки.--signature-type kds-with-filename – тип проверяемой сигнатуры (этот параметр является обязательным для проверки пакета приложения, пакета графического пользовательского интерфейса и Агента администрирования). --single-file <файл> – проверить только один файл, входящий в состав манифеста, остальные объекты манифеста игнорировать.Вы можете просмотреть описание всех доступных параметров утилиты проверки целостности в справке параметров утилиты, выполнив команду integrity_checker --help.
Результат проверки файла манифеста отображается в следующем виде:
SUCCEEDED – целостность файлов подтверждена (код возврата 0).FAILED – целостность файлов не подтверждена (код возврата отличен от 0).Если при запуске приложения обнаружено нарушение целостности приложения или Агента администрирования, приложение Kaspersky Endpoint Security формирует событие об этом в журнале событий и в Kaspersky Security Center.
В начало