Как проверить целостность программы

Kaspersky Endpoint Security проверяет модули программы на наличие повреждений или изменений. Например, если библиотека программы имеет некорректную цифровую подпись, то такая библиотека считается поврежденной. Для проверки файлов программы предназначена задача Проверка целостности. Запускайте задачу Проверка целостности, если программа Kaspersky Endpoint Security обнаружила вредоносный объект и не обезвредила его.

Вы можете создать задачу Проверка целостности в Kaspersky Security Center Web Console и Консоли администрирования. Создать задачу в программе Kaspersky Security Center Cloud Console невозможно.

Нарушения целостности программы могут, например, возникать в следующих случаях:

• Вредоносный объект внес изменения в файлы Kaspersky Endpoint Security. В этом случае выполните процедуру восстановления Kaspersky Endpoint Security средствами операционной системы. После восстановления запустите полную проверку компьютера и повторите проверку целостности.
• Истек срок действия цифровой подписи. В этом случае обновите Kaspersky Endpoint Security.

1. В Консоли администрирования перейдите в папку Сервер администрирования → Задачи . Откроется список задач.
2. Нажмите на кнопку Новая задача .

Запустится мастер создания задачи. Следуйте его указаниям.

Как проверить ЦЕЛОСТНОСТЬ СИСТЕМНЫХ ФАЙЛОВ Windows 10? Восстановление файлов командами SFC и DISM

Шаг 1. Выбор типа задачи

Выберите Kaspersky Endpoint Security для Windows (11.7.0) → Проверка целостности .

Шаг 2. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Доступны следующие способы:

• Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
• Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
• Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 3. Настройка расписания запуска задачи

Настройте расписание запуска задачи, например, вручную или при обнаружении вирусной атаки.

Шаг 4. Определение названия задачи

Введите название задачи, например, Проверка целостности программы после заражения компьютера .

Шаг 5. Завершение создания задачи

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера . Вы можете следить за ходом выполнения задачи в свойствах задачи. В результате Kaspersky Endpoint Security выполнит проверку целостности программы. Вы также можете настроить расписание проверки целостности программы в свойствах задачи (см. таблицу ниже).

1. В главном окне Web Console выберите Устройства → Задачи . Откроется список задач.
2. Нажмите на кнопку Добавить . Запустится мастер создания задачи.
3. Настройте параметры задачи:

1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0) .
2. В раскрывающемся списке Тип задачи выберите Проверка целостности .
3. В поле Название задачи введите короткое описание, например, Проверка целостности программы после заражения компьютера .
4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.

В результате Kaspersky Endpoint Security выполнит проверку целостности программы. Вы также можете настроить расписание проверки целостности программы в свойствах задачи (см. таблицу ниже).

КАК УБРАТЬ «НЕ УДАЛОСЬ ПРОВЕРИТЬ ПРИЛОЖЕНИЕ» ИЛИ «НЕ УДАЛОСЬ ПРОВЕРИТЬ ЦЕЛОСТНОСТЬ ПОИЛОЖЕНИЯ» !!!

1. В главном окне программы перейдите в раздел Задачи .
2. В открывшемся списке задач выберите задачу Проверка целостности и нажмите на кнопку Запустить проверку .

В результате Kaspersky Endpoint Security выполнит проверку целостности программы. Вы также можете настроить расписание проверки целостности программы в свойствах задачи (см. таблицу ниже). Если задача Проверка целостности не отображается, администратор запретил использование локальных задач в политике.

Параметры задачи Проверка целостности

Вручную . Режим запуска, при котором вы запускаете проверку вручную в удобное для вас время.

По расписанию . Режим запуска задачи проверки, при котором Kaspersky Endpoint Security выполняет задачу проверки по сформированному вами расписанию. Если выбран этот режим запуска задачи проверки, вы также можете запускать задачу проверки вручную.

Запускать пропущенные задачи

Если флажок установлен, Kaspersky Endpoint Security запускает пропущенную задачу проверки, как только это станет возможным. Задача проверки может быть пропущена, например, если в установленное время запуска задачи проверки был выключен компьютер. Если флажок снят, Kaspersky Endpoint Security не запускает пропущенные задачи проверки, а выполняет следующую задачу проверки по установленному расписанию.

Выполнять только во время простоя компьютера

Отложенный запуск задачи проверки, если ресурсы компьютера заняты. Kaspersky Endpoint Security запускает задачу проверки, если компьютер заблокирован или включена экранная заставка. Если вы прервали выполнение задачи и ,например, разблокировали компьютер, Kaspersky Endpoint Security запустит задачу автоматически с того же места, где проверка была прервана.

Запускать проверку с правами

(доступен только в консоли Kaspersky Security Center)

По умолчанию задача проверки запускается от имени пользователя, с правами которого вы зарегистрированы в операционной системе. Для доступа к папке установки программы могут потребоваться специальные права. Вы можете указать пользователя, обладающего этими правами, в параметрах Kaspersky Endpoint Security, и запускать задачу проверки от имени этого пользователя.

Источник: support.kaspersky.com

Проверка целостности системных файлов Windows 11

В ситуациях, когда Windows 11 запускается и в целом работоспособна, но демонстрирует неправильное выполнение своих отдельных функций и/или невозможность открытия отдельного встроенного в ОС инструментария, и при этом есть основания полагать, что подобное положение вещей вызвано повреждениями/отсутствием системных файлов, проверка целостности последних осуществляется c помощью программы командной строки SFC.exe и указанным далее образом (наиболее полный и «правильный» (с одновременным восстановлением повреждённых ресурсов), задокументированный Microsoft алгоритм).

1. Первое, что рекомендуется сделать перед использованием служебной программы проверки целостности системных ресурсов Win 11 разработчиками из Microsoft – это убедиться в факте установленности всех вышедших для операционки апдейтов. Выполняем данную операцию, если есть такая возможность, обновляем ОС. Подробнее: Как обновить Windows 11 до последней версии
2. Далее запускаем «Командную строку» Виндовс, обязательно от имени администратора. Выполнить данный шаг можно разнообразными путями, к примеру:
3. Вводим запрос cmd в системный «Поиск»;

Кликаем правой кнопкой манипулятора по поисковому результату «Командная строка»;

Щёлкаем по наименованию функции «Запуск от имени администратора» в открывшемся меню;

Кликнув «Да» в блокирующем дальнейшие действия окне системного средства «Контроль учётных записей», подтверждаем запрос операционки.

Помимо «Командной строки», с целью запуска и эксплуатации утилиты проверки целостности системных объектов в Windows 11 можно эффективно использовать интегрированное в ОС этой версии приложение «Терминал» («PowerShell»). При таком подходе открываем указанный софт от имени Администратора, — например, из меню дополнительных функций элемента «Пуск»

Способ 2: Среда восстановления

Если предложенное выше в этой статье нереализуемо по причине утраты Win 11 способности запускаться в нормальном режиме, а также, когда средство SFC не может получить доступ к каким-либо файлам, демонстрирует ошибки и т.п., команду проверки и одновременного восстановления системных файлов операционки запускают в её среде восстановления (WinRE).

Переходим в среду восстановления ОС. Это можно выполнить различными способами и доступно практически всегда, вне зависимости от ситуации и текущего состояния Windows 11, а подробно описано в статье по следующей ссылке: Подробнее: Способы запуска среды восстановления Windows 11

С экрана «Выбор действия» WinRE, кликом по соответствующему блоку, перемещаемся в раздел среды восстановления под названием «Поиск и устранение неисправностей».

Далее открываем «Дополнительные параметры», а затем вызываем функцию «Командная строка».

Через открывшееся окно консоли по очереди выполняем (пишем – нажимаем «Ввод» на клавиатуре) три следующие текстовые команды:

diskpart

list volume

exit

При необходимости заменив в следующем тексте обозначение c: на присвоенную WinRE (и определённую в результате выполнения пункта инструкции выше) букву раздела диска, где инсталлирована ОС Виндовс 11, вводим его в качестве консольной команды: sfc /scannow /offbootdir=c: /offwindir=c:Windows

Написав и перепроверив команду, нажимаем «Enter» на клавиатуре. В результате будет инициировано сканирование системных объектов с одновременной заменой повреждённых (когда возможно и если таковые будут обнаружены средством). Ожидаем завершения процедуры.

Примечание. Даже если прогресс проверки системы в виде процентного счётчика не демонстрируется «Командной строкой» в WinRE, это не означает, что процесс не производится! Запустив SFC.exe, следует просто ожидать, и лучше «оставить компьютер в покое» – сканирование системных файлов и их замена на «оригинальные» занимает продолжительное время, обычно несколько десятков минут.

По завершении проверки системы консоль выдаст отчёт о её результатах.

Чтобы выйти из WinRE и загрузить ОС Win11 в обычном режиме (или, во всяком случае, попытаться это сделать) после проверки (и автоматического восстановления) системных ресурсов рассмотренным способом, отправляем в консоль команду exit , а затем кликаем по блоку «Продолжить — Выход и использование Windows 11» на открывшемся экране «Выбор действия».

Источник: lumpics.ru

Как реализовать проверку целостности программы?

Вопрос больше теоретический: каким образом программы реализуют проверку целостности самих себя?
1 момент — допустим мы посчитали хеш файла, но как только мы будем записывать константу в код — сумма файла изменится.

2 момент — почему нельзя просто занопить процедуру проверки суммы в такой программе и обойти проверку?

• Вопрос задан более трёх лет назад
• 1866 просмотров

Комментировать
Решения вопроса 0
Ответы на вопрос 4

Yipee-ki-yay

1. Обычно считается контрольная сумма секции кода, а эталонная сумма храниться в секции данных.
2. Можно занопить, поэтому используют всякое шифрование кусков кода, а в момент исполнения — расшифровывают.
На самом деле стопроцентной защиты нет и быть не может. Просто стоимость взлома должна быть больше стоимости программы. Никто не будет тратить неделю на взлом программы, которая стоит 50 рублей.

Ответ написан более трёх лет назад
Нравится 3 7 комментариев

Да это понятно. Но спасибо за комментарий. Про шифрование кусков кода — снятие дампа это лечит )

sbh: Можно кусок расшифровать->выполнить->зашифровать и тогда снятие дампа сильно усложниться. Да и снятый дамп, потом засунуть в программу, чтобы работало — задачка не тривиальная. И тут мы снова подходим к вопросу: А оно того стоит? 🙂

Никита Пустовалов: засовывать никуда не нужно. Нужно просто проанализировать в отладчике.

sbh: занопите тоже в отладчике?

sbh: Круто! А потом как взломанную программу распространять? С подробной инструкцией как занопить команду в отладчике? 🙂

Lander: А с чего вы взяли что кто-то собрался распространять что-то?

Программист в свободное от работы время

Как уже сказал Никита Пустовалов 100% защиты нет, конкретный метод зависит от языка программирования, к примеру на C# можно сделать примерно так, все «важные» данные выносятся в отдельный модуль, в него же выносится функция для вычисления хэша и она в идеале нестандартная или состоит из нескольких стандартных (чтобы усложнить). После загрузки модуля в память из него вычитывается «тело», телом фактически является dll в памяти, от «тела» с помощью метода из модуля вычисляется хэш и сравнивается с эталонным(т.к. операция не очень дорогая можно делать хоть перед каждым вызовом). В таком случае модуль нужно защищать всеми возможными средствами, на остальное можно забить, т.к. все критичное в модуле. И да, если модуль смогут деобфусцировать и перекомпилировать изменив метод расчета хэша и эталон то защиту обошли, поэтому в любом случае придется думать как защитить от декомпиляции модуль. Просто так «занопить» тут уже не получится, а деобфускация с возможностью перекомпилировать модуль даже на .net не всегда простая задача.

Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать
System programming, Reversing Engineering, C++

Если бы все было так просто, то не было бы столько предолжений защит ПО типа Enigma, Themida и др. Если хотите окунуться с головой в эту область, то рекомендую проследовать на форум Wasm.ru и читать до просветления.

В целом решение «на коленке»:
1. Подсчитать от куска кода хэш во время накладывания защиты и считать это эталонным хэшем. Подсчитывать в момент выполнения и сравнивать с эталонной.
2. Во время выполнения получать контекст, брать значения отладочных регистров и xor-ить с кодом. Если кто-то поставил бряк, то значит в отладочном регистре будет значение указателя, тем самым не нулевое значений, то попортит код.
3. Поиск окон с названием от regmon, ollydbg и др.
4. Все значимые строковые константы шифровать на этапе защиты и во время работы расшифровывать
5. Занулять описатели секций, т.е. массив из структур IMAGE_SECTION_HEADER находящийся в PE-заголовке
6. В заголовке найти DataDirectory[DEBUG_DIR_INDEX] и поставить на область в вашем приложение, в этой области сгенерировать мусор

Но повторюсь, это «на коленке»

Источник: qna.habr.com