YARA. Chạy Quét YARA

Chạy tác vụ Chạy quét YARA. Ứng dụng sẽ quét các tập tin và đối tượng để tìm dấu hiệu tấn công có chủ đích vào cơ sở hạ tầng CNTT của công ty bằng cách sử dụng cơ sở dữ liệu các quy tắc YARA do người dùng Kaspersky Anti Targeted Attack Platform tạo ra. Quy tắc YARA là phân loại phần mềm độc hại có sẵn công khai, chứa các dấu hiệu chỉ báo về các cuộc tấn công có chủ đích và xâm nhập vào cơ sở hạ tầng CNTT của công ty mà Kaspersky Anti Targeted Attack Platform sử dụng để quét các tập tin và đối tượng.

Để chạy quét YARA, bạn phải chuẩn bị các tập tin YARA mô tả các quy tắc. Khi tạo tập tin YARA, hãy cân nhắc các yêu cầu sau:

Kaspersky khuyến nghị tạo một quy tắc cho mỗi tập tin YARA. Điều này làm cho kết quả quét dễ đọc hơn.

Quá trình quét YARA có thể mất khá nhiều thời gian. Tùy thuộc vào dung lượng ổ đĩa, thiết lập của tác vụ và số lượng đối tượng trên đĩa, quá trình quét YARA có thể kéo dài từ vài phút đến vài giờ. Ứng dụng không hiển thị chỉ báo tiến trình. Không thể dừng hoặc hủy quá trình quét YARA. Bạn nên đợi cho đến khi có kết quả quét YARA.

Cú pháp lệnh

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA files

 

<full path to the YARA file>

Đường dẫn đầy đủ đến tập tin YARA mà bạn muốn sử dụng để quét. Bạn có thể chỉ định nhiều tập tin YARA được phân tách bằng dấu cách. Đường dẫn đầy đủ đến tập tin YARA phải được nhập mà không có đối số /path.

Ví dụ: C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Đường dẫn đến thư mục có tập tin YARA mà bạn muốn sử dụng để quét.

Ví dụ: /path=C:\Users\Admin\Desktop\YARA.

Thiết lập nâng cao

 

fastScan

Quét YARA nhanh. Đối với mỗi đối tượng, ứng dụng sẽ ghi lại một lần xuất hiện của chỉ báo được phát hiện. Ứng dụng này cũng ẩn các bản sao của các dấu hiệu được phát hiện trong nhật ký. Tính năng Quét YARA nhanh cho phép quét các tập tin lớn nhanh hơn.

Nếu thiết lập này không được chỉ định, ứng dụng sẽ thực hiện quét YARA tiêu chuẩn. Ở chế độ này, ứng dụng sẽ ghi lại các bản sao của các dấu hiệu được phát hiện.

maxRules=<maximum number of scan rules>

Có bao nhiêu quy tắc duy nhất phải được kích hoạt để ứng dụng dừng quét YARA.

Nếu giá trị của thiết lập này không được chỉ định hoặc nếu chỉ định giá trị 0 thì ứng dụng sẽ thực hiện quét YARA mà không có giới hạn.

timeOut=<stop scan after the specified time in seconds>

Thời lượng để quét YARA, tính bằng giây. Khi thời gian này hết, ứng dụng sẽ dừng quét YARA.

Nếu giá trị của thiết lập này không được chỉ định hoặc nếu chỉ định giá trị 0 thì ứng dụng sẽ thực hiện quét YARA mà không có giới hạn.

recursive

Quét đệ quy các thư mục con khi thực hiện Quét tùy chỉnh (scanFolder).

scanMemory

Quét bộ nhớ của tất cả các tiến trình đang chạy.

scanFolders <list of folders to be scanned>

Quét tùy chỉnh. Ứng dụng sẽ quét các thư mục do người dùng chọn.

Nếu không chỉ định thiết lập này, ứng dụng sẽ thực hiện quét YARA trên tất cả các ổ đĩa cục bộ ngoại trừ các lượt chia sẻ mạng, ổ đĩa đám mây và thiết bị lưu trữ di động.

scanProcess <process name>

Chỉ quét bộ nhớ cho những tiến trình được chỉ định. Kaspersky Endpoint Security hỗ trợ các ký tự * và ? khi nhập tên đại diện.

maxFileSize=<file size in bytes>

Giới hạn kích thước tập tin cho tác vụ quét YARA. Ứng dụng bỏ qua các tập tin lớn hơn.

excludes <list of objects to be scanned>

Loại trừ các tập tin và thư mục khỏi tác vụ quét YARA. Bạn có thể chỉ định nhiều giá trị được phân tách bằng dấu cách. Các giá trị sau khả dụng:

  • Tên tập tin
  • Đường dẫn đến tập tin
  • Phần mở rộng tập tin
  • Tên đại diện đường dẫn tập tin

Các loại trừ phải được chỉ định bằng tham số scanFolders.

Ví dụ:

scanFolders C:\*.* excludes readme.txt C:\trusted\*.* *.xml – ứng dụng bỏ qua tập tin readme.txt, tất cả các tập tin từ thư mục C:\trusted và tất cả các tập tin có phần mở rộng xml trong thư mục gốc trên đĩa C.

logFolder <path to the folder for saving the scan results in a TXT file>

Lưu kết quả quét YARA vào một tập tin trong thư mục được chỉ định. Ứng dụng này cũng xuất kết quả quét YARA ra dòng lệnh.

Các giá trị trả về của lệnh:

Bạn có thể xem kết quả quét YARA trong bảng điều khiển Kaspersky Anti Targeted Attack Platform. Chỉ có trạng thái tác vụ khả dụng trong Kaspersky Security Center.

Nếu lệnh được thực thi thành công (giá trị trả về 0) và các dấu hiệu về sự xâm phạm đã được phát hiện trong quá trình thực hiện, Kaspersky Endpoint Security xuất thông tin kết quả tác vụ sau đây cho dòng lệnh:

Offset

Offset trong đối tượng mà Kaspersky Endpoint Security đang thực hiện quét YARA.

Object Name

Tên của đối tượng mà ứng dụng đang quét.

Rule Name

Tên của quy tắc mà ứng dụng đang sử dụng để quét YARA.

Về đầu trang