Тестирование работы ESET LiveGuard Advanced

Чтобы протестировать работу ESET LiveGuard Advanced, выполните следующие действия.

Пользователи с ESET PROTECT

I. Необходимые условия

Убедитесь, что решение ESET LiveGuard Advanced активировано, включено и работает правильно.

II. Подготовка тестового файла

1.Создайте новую папку на компьютере.

2.Исключите эту папку с помощью исключений для быстродействия.

3.Загрузите тестовый файл в исключенную папку:
Тестовый файл для Windows
Тестовый файл для Linux

4.Извлеките загруженный архив в исключенную папку. Архив защищен следующим паролем: infected

5.Пользователи Windows: Чтобы сделать файл уникальным, откройте командную строку, нажав Win+R, и введите powershell. Перейдите в папку с исключенным тестовым файлом. Выполните команду ниже. Она добавляет текущую метку времени в конец файла, и файл получает новый хэш.
Add-Content .\EdtdTestFile.exe $(date)

Пользователи Linux: Чтобы сделать файл уникальным, откройте терминал, перейдите в папку с исключенным тестовым файлом и введите date >> create_eicar.bin (при необходимости файл можно переименовать). Эта команда добавляет текущую метку времени в конец файла, и файл получает новый хеш.

III. Тестирование ESET LiveGuard Advanced

1.Скопируйте файл, подготовленный в разделе II, в папку, которая не исключена. Не перемещайте файл. Он будет отправлен в ESET LiveGuard Advanced немедленно, потому что это новый исполняемый файл.

2.При необходимости можно проверить, был ли отправлен файл, выполнив следующие действия.
В продукте безопасности ESET: Щелкните Служебные программы > Файлы журнала > Отправленные файлы.
В веб-консоли ESET PROTECT: щелкните Дополнительно > Отправленные файлы.

3.Через некоторое время файл будет удален с компьютера, и вы получите уведомление об удалении вредоносной программы. Чтобы просмотреть информацию, выполните следующие действия.
В продукте безопасности ESET: Щелкните Файлы журнала > Обнаружения.
В веб-консоли ESET PROTECT: щелкните Дополнительно > Отправленные файлы.

4.Если запустить тестовый файл до завершения анализа, вы получите сообщение о том, что тестовый файл ESET LiveGuard Advanced был запущен. Тестовый файл сбрасывает файл Eicar (стандартный файл для тестирования обнаружения вредоносных программ), который немедленно удаляется. После завершения анализа тестовый файл очищается.

IV. Тестирование нескольких файлов

После обнаружения тестового файла его хэш сохраняется локально. Если скопировать его из исключенной папки, он будет сразу же обнаружен. Вы можете сделать файл уникальным, повторив действие II.5, и он будет снова отправлен на анализ. Затем можно выполнить инструкции из раздела III.

V. Тестирование проактивной защиты

1.Убедитесь, что проактивная защита включена. В продукте безопасности ESET нажмите F5 или выберите Дополнительные настройки > Модуль обнаружения > Облачная защита > ESET LiveGuard Advanced > Проактивная защита = «Блокировать исполнение до получения результата анализа».

2.Убедитесь, что включены соответствующие диалоговые окна связи. В продукте безопасности ESET нажмите клавишу F5 или щелкните Дополнительные параметры > Уведомления > Уведомления на рабочем столе > Уведомления на рабочем столе > Изменить и включите:
Файл проанализирован
Файл на анализе
Файл не проанализирован

3.Загрузите второй тестовый файл в папку, которая не исключена, и выполните этот файл.
Тестовый файл для Windows
Тестовый файл для Linux

4.Вы получите уведомление о том, что операция не разрешена. Выполнить файл во время анализа нельзя.

5.После того, как анализ будет завершен, а файл будет признан безопасным, его можно будет выполнить.

ESET Cloud Office Security пользователи

I. Необходимые условия

Убедитесь, что включена политика ESET LiveGuard Advanced в ESET Cloud Office Security.

II. Подготовка тестового файла

1.Загрузите тестовый файл в расположение или на компьютер, которые не защищены политикой ESET LiveGuard Advanced.

2.Извлеките загруженный файл. Файл является архивом и защищен паролем. Ваш пароль: infected.

3.Чтобы сделать файл уникальным, откройте командную строку, нажав Win+R, и введите powershell.

4.Перейдите в папку с тестовым файлом.

5.Выполните указанную ниже команду. Эта команда добавляет текущую метку времени в конец файла, и файл получает новый хэш:
Add-Content .\EdtdTestFile.exe $(date)

III. Тестирование ESET LiveGuard Advanced

1.Используйте файл из действия II одним из следующих способов:
Переместите файл в OneDrive.
Создайте черновик электронного письма (с помощью Microsoft Outlook) с вложенным в него тестовым файлом.
Сохраните файл в защищенную папку в Sharepoint.

2.Файл будет немедленно отправлен в ESET LiveGuard Advanced.

3.Чтобы убедиться, что файл в ESET Cloud Office Security был отправлен, щелкните Журналы > Отправленные файлы.

4.Через некоторое время файл удаляется. Результат анализа можно увидеть в разделе Отправленные файлы.

Вопросы и ответы

Это настоящая вредоносная программа?

Нет, файл EdtdTestFile.exe — это всего лишь сбрасыватель файла Eicar (стандартного файла для тестирования обнаружения вредоносных программ). Это событие обнаруживается во время анализа в песочнице ESET LiveGuard Advanced.

Как можно в этом убедиться?

Ниже приведены исходные коды тестовых файлов.

•Исполняемый файл Windows

#include <fstream>

#include "tchar.h"

#include "windows.h"

int main()

{

std::ofstream dropped;

dropped.open(_T("eicar.com"));

dropped << "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*";

dropped.close();

::MessageBox(nullptr, _T("EDTD test file has been executed.\n2020.4.15 10:34"), _T("EDTD test file"), MB_OK);

return 0;

}

•Двоичный файл Linux

#include <fstream>

#include <iostream>

#include <stdio.h>

int main()

{

std::ofstream dropped;

dropped.open("eicar.com");

dropped << "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*";

dropped.close();

std::cout << "EDTD test file has been executed." << std::endl;

getchar();

return 0;

}

˄˅