˄˅

Перевірка функціональності ESET LiveGuard Advanced

Щоб перевірити функціональність і можливості ESET LiveGuard Advanced, виконайте такі дії:

Користувачі з ESET PROTECT On-Prem

I. Попередні вимоги відсутні

Переконайтеся, що продукт ESET LiveGuard Advanced активований, увімкнений і належним чином виконується.

II. Підготовка тестового файлу

1.Створіть нову папку на комп’ютері.

2.Виключіть цю папку за допомогою функції Виключення в роботі.

3.Завантажте тестовий файл у виключену папку:
Тестовий файл Windows
Тестовий файл Linux

4.Видобудьте файли із завантаженого архіву у виключену папку. Архів захищено паролем. Пароль: infected

5.Користувачі Windows: Щоб зробити файл унікальним, відкрийте командний рядок. Для цього натисніть Win+R і введіть powershell. Перейдіть у папку з виключеним тестовим файлом. Виконайте наведену нижче команду. Вона додає поточну позначку часу в кінець файлу, і файл отримує новий хеш:
Add-Content .\EdtdTestFile.exe $(date)

Користувачі Linux: Щоб зробити файл унікальним, відкрийте термінал, перейдіть до папки з виключеним тестовим файлом і введіть date >> create_eicar.bin (цей файл можна перейменувати). Ця команда додає поточну мітку часу в кінець файлу, і файл отримує новий хеш.

III. Перевірка ESET LiveGuard Advanced

1.Скопіюйте файл, підготовлений у розділі II., в папку, яка не є в списку виключених папок. Файл негайно надсилається в ESET LiveGuard Advanced, оскільки це новий виконуваний файл.

2.Окрім того, можна перевірити, чи надіслано файл:
У продукті ESET для захисту: Клацніть Інструменти > Файли журналу > Надіслані файли.
У веб-консолі ESET PROTECT: Клацніть Докладніше > Надіслані файли.

3.Через деякий час файл видаляється з комп’ютера, і ви отримаєте сповіщення про видалення шкідливого програмного забезпечення. Ви можете переглянути таку інформацію:
У продукті ESET для захисту: Клацніть Файли журналу > Виключення.
У веб-консолі ESET PROTECT: Клацніть Докладніше > Надіслані файли.

4.Якщо запустити тестовий файл до завершення аналізу, ви отримаєте інформацію про те, що тестовий файл ESET LiveGuard Advanced запущено. Тестовий файл завантажуєEicar (стандартний тестовий файл шкідливого програмного забезпечення), який негайно видаляється. Після завершення аналізу тестовий файл очищується.

IV. Тестування кількох файлів

Після виявлення тестового файлу його хеш зберігається локально. Якщо скопіювати його з виключеної папки, його негайно буде виявлено. Можна зробити файл унікальним, щоб знову надіслати його для аналізу. Для цього дотримуйтеся інструкцій на кроці II. Потім можна перейти до розділу III.

V. Перевірка проактивного захисту

1.Переконайтеся, що проактивний захист увімкнуто. У продукті ESET для захисту (натискайте F5) перейдіть у меню Додаткові параметри > Ядро виявлення > Захист на основі хмари > ESET LiveGuard Advanced > Проактивний захист = Блокувати виконання до отримання результату аналізу.

2.Переконайтеся, що ввімкнено належні діалогові вікна зв’язку. У продукті з безпеки ESET натисніть клавішу F5 або клацніть Розширені налаштування > Сповіщення > Сповіщення на робочому столі > Сповіщення на робочому столі > Змінити і ввімкніть:
Файл перевірено
Перевірка файлу
Файл не перевірено

3.Завантажте другий тестовий файл у розташування, яке не було виключено, і виконайте його.
Тестовий файл Windows
Тестовий файл Linux

4.Ви отримаєте сповіщення сповіщення про те, що цю операцію недозволено виконувати. Під час аналізу неможливо виконати файл.

5.Якщо після завершення аналізу буде встановлено, що файл безпечний, ви можете його виконати.

ESET Cloud Office Security користувачі

I. Попередні вимоги відсутні

Переконайтеся, що політику ESET LiveGuard Advanced в ESET Cloud Office Security увімкнено.

II. Підготовка тестового файлу

1.Завантажите тестовий файл у папку (або на комп’ютер), не захищений політикою ESET LiveGuard Advanced.

2.Видобудьте завантажений файл. Файл — це архів, захищений паролем. Пароль: infected

3.Щоб зробити файл унікальним, відкрийте командний рядок. Для цього натисніть Win+R і введіть powershell.

4.Перейдіть у папку з тестовим файлом.

5.Виконайте наведену нижче команду. Ця команда додає поточну мітку часу в кінець файлу, і файл отримує новий хеш.
Add-Content .\EdtdTestFile.exe $(date)

III. Перевірка ESET LiveGuard Advanced

1.Скористайтесь файлом із кроку II одним із таких способів:
Перенесіть файл у OneDrive
Створення шаблону електронного листа (з використанням Microsoft Outlook) з тестовим файлом як вкладенням
Збережіть файл у захищеному розташуванні в Sharepoint.

2.Файл негайно надсилається до ESET LiveGuard Advanced.

3.Щоб перевірити, що файл було надіслано в ESET Cloud Office Security, клацніть Журнали > Надіслані файли.

4.Через деякий час файл буде видалено. Результат аналізу можна переглянути в розділі Надіслані файли.

Питання й відповіді

Це програмне забезпечення є шкідливим?

Ні, EdtdTestFile.exe — це лише дропер Eicar (стандартний тестовий файл шкідливого програмного забезпечення). Ця подія виявляється під час аналізу в пісочниці в ESET LiveGuard Advanced.

Як переконатися в цьому?

Нижче наведено вихідні коди тестових файлів:

•Виконуваний файл Windows

#include <fstream>

#include "tchar.h"

#include "windows.h"

int main()

{

std::ofstream dropped;

dropped.open(_T("eicar.com"));

dropped << "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*";

dropped.close();

::MessageBox(nullptr, _T("EDTD test file has been executed.\n2020.4.15 10:34"), _T("EDTD test file"), MB_OK);

return 0;

}

•Двійковий файл Linux

#include <fstream>

#include <iostream>

#include <stdio.h>

int main()

{

std::ofstream dropped;

dropped.open("eicar.com");

dropped << "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*";

dropped.close();

std::cout << "EDTD test file has been executed." << std::endl;

getchar();

return 0;

}

˄˅