存储功能检查
2022年1月20日
ID 199346
删除受感染对象后,Kaspersky Endpoint Security 将该对象放置在存储中。
您可以使用 EICAR 测试文件检查存储功能。该测试病毒由 European Institute for Computer Antivirus Research (EICAR) 开发以检查反病毒软件的操作。
EICAR 测试文件不是一个病毒,不包含损害您计算机的代码,但是多数反病毒程序都将其视为威胁。
包含测试病毒的文件叫做 eicar.com。您可以从 EICAR 网站 下载它。
要检查存储功能:
- 从互联网下载测试文件:
curl https://www.eicar.org/download/eicar.com.txt -o /root/eicar.com.txt - 创建 EICAR 测试文件:
echo -n 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > standard如果您尝试打开测试文件,它将立即或在几秒钟后被删除。
- 通过执行以下命令检查存储:
kesl-control -B –query两个测试文件都放置在存储区。
- 通过字段名称使用查询在存储中查看测试文件。例如:
- 查询所有在
FileName字段中包含standard的文件:kesl-control -B --query "FileName like '%standard%'" - 查询所有在 UNIX 时间戳系统(自 1970年1月 00:00:00 (UTC) 起经过的秒数)中指定的时间间隔后移动到存储中的文件:
kesl-control -B --query "AddTime > '1588252951'"
关于使用查询的更多信息,请参考使用逻辑表达式部分。
- 查询所有在
- 尝试使用
ObjectId字段恢复文件:kesl-control -B --restore 1文件被恢复到其原始位置。
ls命令不打开文件,因此其不被文件威胁防护任务删除。但是当您cat它时,文件将被检测并删除,并移动到存储中。
- 尝试恢复第二个测试文件到不同位置:
kesl-control -B --restore 2 --file /tmp/newfile该文件被恢复到指定位置。
- 如果必要,通过使用查询系统从存储中删除对象。