Microsoft Defender постоянно сканирует пакеты iso-образа Kali Linux, помечает как вредоносные и дублирует угрозы в журнале событий
Дисклеймер: статья предназначена для ребят, которые только учатся на инфобез и могут наступить на те же грабли, что и я. И предназначена для того, чтобы немного облегчить им жизнь.)
Предисловие: не так давно, за время учебы мне понадобилось скачать iso-файл с Kali Linux для виртуальной машины.
Но после неосмотрительного проведения полного сканирования системы встроенным антивирусом Windows, произошло кое-что неприятное. Microsoft Defender добрался до моего жесткого диска, где лежал iso-файл Kali Linux, взяв его в оборот, начал выдавать целый ворох угроз в журнале событий, требуя предпринять какие-нибудь действия: поместить угрозы в карантин, удалить их или разрешить на устройстве.
Из самих описаний этих угроз было четко ясно, что дело действительно в образе.
Однако ни один вариант из предложенных антивирусом нам не подходит. Удалить угрозы? Они часть iso-файла, это не сработает (хотя поспешные и нелепые попытки были). Поместить в карантин? Та же нелепость. Разрешить все угрозы? Долго и рискованно (пакетов очень много).
В спешке и панике первая мысль была — удалить исошник, однако это было невозможно, поскольку Microsoft Defender уже взаимодействовал с ним и не мог прекратить сканирование. При попытке удалить iso-файл открывалось окно с бесконечной загрузкой удаления.
Изначально предпринимались попытки найти ответ в интернете, но особо ничего толкового не нашлось. Кто-то предлагал зайти и удалить файл в безопасном режиме, отключив антивирус, кто-то смог завершить нужный процесс в диспетчере задач. Но все это особо не помогало.
Ссылки на форумы в поисках ответа:
https://www.reddit.com/r/Windows10/comments/kjq8mv/i_cant_delete_a_kali_linux_iso/
https://www.tenforums.com/antivirus-firewalls-system-security/175472-i-cant-delete-iso-file.html
Решение:
Закинуть папку с iso-файлом в исключения. Как оказалось, это был самый простой и работающий вариант.
После этого антивирус перестанет кричать об угрозах и немного успокоится, а через какое-то время iso-файл можно будет удалить. Однако с каждым последующим включением вы все равно столкнетесь с ситуацией, что антивирус будет сканировать систему и, на основании предыдущих событий будет дублировать их как предупреждения. Таким образом события в журнале текущих угроз будут постоянно дублироваться, а сам журнал — ужасно тормозить. Исправляем.
Как решить проблему с постоянным сканированием уже несуществующих угроз?
Эту проблему решить удалось, опираясь на информацию из этих источников.)
У человека на киберфоруме была такая же головная боль. Но вовремя подоспевший отвечающий дал весьма полезную ссылку.
В конце концов, мне помог такой способ:
Заходим в PowerShell от имени администратора —> вводим следующую команду:
Set-MpPreference -ScanPurgeItemsAfterDelay 1
"Set-MpPreference настраивает параметры сканирования и обновлений Защитника Windows. Вы можете изменить расширения имен файлов исключения, пути или процессы и указать действие по умолчанию для высокого, умеренного и низкого уровней угрозы. "
Конкретно эта команда устанавливает задержку (в днях), после которой история в журнале защиты будет удалена.
Осталось только ждать. Отматывать вперед системное время нет необходимости, поскольку журнал событий должен очиститься без каких-либо проблем спустя какое-то время (максимум сутки).
Чтобы вернуть все как было, нужно просто снова ввести эту команду в PowerShell от имени администратора и 1 заменить на 0. Тогда список удаляться не будет. Можно также поставить и любое другое значение дней задержки информации в журнале.
Комментарии (41)
Minysovka
26.12.2023 16:37Тоже начал проходить курсы по кибербезопасности, но такой проблемы со своим дефендером не встретил
Nervous_Hoarder Автор
26.12.2023 16:37+4Значит, не наступили на мои же грабли.)
Просто хотелось написать целостное решение для таких же новичков как я, которые только учатся и могут допустить такие же ошибки.
DikSoft
26.12.2023 16:37Всего одно вводное предложение могло сильно улучшить отношение к неплохой в целом статье.
Nervous_Hoarder Автор
26.12.2023 16:37А ведь действительно, наверное, стоило вписать это пояснение в начало. Отредактирую тогда, пожалуй! Спасибо за фидбек.
xxxphilinxxx
26.12.2023 16:37Просто хотелось написать целостное решение
Я бы тогда посоветовал проделать еще две вещи: во-первых, объяснить, что делает команда, а то иначе это заклинание :) в идеале еще и дать команду, отменяющую эффект первой; во-вторых, хотя бы в двух словах описать информацию по ссылкам. Знаете, как обидно бывает, когда ищешь решение какой-нибудь нетривиальной проблемы, находишь на старых форумах, вероятно, единственную во всем интернете ветку с ее обсуждением, которая заканчивается словами "вот по ссылке решение, мне помогло", а ссылка уже нерабочая? Или что-то на скриншотах, которые тоже уже не грузятся.
Nervous_Hoarder Автор
26.12.2023 16:37Спасибо за фидбек, дружище. Конечно внесу эти улучшения в статью. Мне ещё многому предстоит научиться.
kasiopei
26.12.2023 16:37+2А что не так? Многие антивирусы агрятся на хакерские инструменты. Он же пишет "hacktool" Он не знает вы специально скачали или вам кто-то внедрил. Решение принимать вам. Причем это как бы известные программы из базы. Эвристический анализатор тоже должен агрится на специфический набор api вызовов. Обычно такое добро складывается в отдельную папку и заносится в исключения.
Nervous_Hoarder Автор
26.12.2023 16:37Оно и понятно. Никаких обвинений в сторону дефендера не имею, весьма хороший антивирус.)
Просто произошла вот такая нелепая ситуация, с которой пришлось немного повозиться и опубликовать решение. Самое забавное, в моем случае получилось объединить несколько проблем - это удаление исошника и остановка постоянного сканирования системы. Но что ж, все приходит с опытом.
Lord_Ahriman
26.12.2023 16:37+1Очень многие антивирусы имеют детект "угрозы" "hack tool" (у меня на работе Касперский, например, ругался на Process Explorer из Sysinternals Suite). А Kali, очевидно, более чем подходит под ""hack tool". Повторным детектом больших файлов тоже многие грешат (тот же Каспер и ДрВеб, как минимум). Дефендер хотя бы не вешается на этих больших файлах, в отличие от некоторых.
Nervous_Hoarder Автор
26.12.2023 16:37Подтормаживает, но не вешается, тут действительно в точку. И это здорово, иначе вешаться пришлось бы и юзеру.
ewgenc
26.12.2023 16:37Достаточно дано лежит несколько образов Kali, виртуалка развернута, ничего подобного случаю автора нет.
Nervous_Hoarder Автор
26.12.2023 16:37Это произошло после проведения полного сканирования антивирусом без предварительной подготовки, чтобы защитить исошник от обнаружения.)
Так что возможно вы либо все сделали правильно, либо ещё не сканировали дефендером систему полностью.
nronnie
26.12.2023 16:37+1Закинуть папку с iso-файлом в исключения. Как оказалось, это был самый простой и работающий вариант.
Кто бы мог подумать.
DikSoft
Этому приколу сто лет , реально повод для статьи на Хабре?
MountainGoat
Реально. За пределами хабра вам миллион людей стройным воем скажут, что Defender - лучший антивирус, а любые другие антивирусы покупают только конченые лохи. Так что сколько этот прикол длится, столько и писать.
DikSoft
Я Вам и изнутри Хабра скажу, что это очень даже неплохой антивирус, управляемый и расширяемый вплоть до EDR/XDR решений.
Про то, что ISO Kali в виртуалку и "магазинный" Kali нужно устанавливать в WSL заранее немного предприняв усилий - про это очень давно известно и инфоповодом IMHO не является. Хотя ... Больнее всего наступать на детские грабли, да.
MountainGoat
Ну да, когда антивирус считает файл подозрительным, а потом не может его ни удалить, ни оставить, вешая всю систему - то это пользователь наступил на детские грабли.
А если антивирус прошляпил малварь, то тоже пользователь виноват - нехрен было малварь скачивать.
Ещё, у меня нет EDR/XDR решений , у меня есть 1 комп. И в такой ситуации у Defender нет настроек вообще. Добавить в исключения тормозной древний USB-диск нельзя. А когда одно время он вздумал ругаться на Rust, пришлось добавить в исключения всю папку Temp - иначе успокоить Defender было нельзя. Мой нынешний антивирус тоже ругается на Rust, но в исключения можно добавить по wildcard и только это конкретное подозрение.
Короче, как был фуфел, сляпаный на коленке чтобы был благородный повод собирать глубокую телеметрию, так и остался. Только ещё в рекламу миллиардик вбухали, похоже.
DikSoft
У меня в WSL одна из систем Kali. Антивирус - Defender, ось - W10 и W11. Свежие версии Kali Linux часто ставлю в Hyper-V из официального .ISO.
Перед установкой прочитал короткие пояснения, как правильно поставить и добавить в исключения. Никаких проблем. Может всё-таки достаточо специфичные вещи устанавливать надо с минимальной подготовкой, а не обвинять во всём "кривой ативирус"?
PS Wildcard, кстати, тоже вполне себе вменяемо поддерживается для исключений.
MountainGoat
А при чём тут Kali вообще? Если антивирус так себя ведёт при детекциях, то что мне мешает взять обнаруживаемую малварь размером в пару килобайт, запаковать в ISO образ 10 000 копий с тривиальной разницей между ними, и этот образ весом 20Мб разослать?
tsem13
*стройным воем говорит что дефендер хороший антивирус и ждёт законно заработанную часть от выделенного на рекламу миллиарда*
Нет, ну правда - тема на киберфоруме моя :) Такая проблема за годы пользования случилась раз. А я админю всякое и люди там скачивающие всякое попадаются всякие. Вот вам мой опыт - дефендер и правда максимально беспроблемный по сравнению с аналогами (мне довелось пользоваться симантеком (корпоративной версией), авастом, дрвёбом, касперским (корпоративной версией)и случайно - пандой на китайских тачках на контроллерах завода. Систему дефендер как раз не повесил, в отличии от того что бывало с этими вот парнями, просто зациклился в своих же логах. Работать при этом не перестал и проч. Баг? Баг. Вы доложили разработчику? Нет. Так чего ж шумите?
Антивирус это в принципе штука которая сидит в вашей системе и делает что то там. Это неприятно явление чисто с точки зрения юникс-вей. Но увы, это меньшее зло, необходимое потому что люди по своей природе склонны поднасрать своему ближнему (см. хакеры, вирусописатели, вирусорассылатели-шутники и проч.) Не рассылайте этот образ весом 20Мб. Пожалуйста :)
Kenya-West
К сожалению, вы находитесь в невыгодной ситуации. Это EDR/XDR решениям нет дела до вас, а не вам до них.
GP, regedit, MDM, Intune?
Defender - это одна из самых гибких платформ с неплохим интеграциями для конечных устройств. Не поверю, что у антивируса (который является, кстати, лишь компонентом данной платформы) не хватает базовых настроек для ваших нужд.
Nicetas
Вообще-то в статье речь про ПК, а не рабочую станцию. И не про некую"платформу", а про софт для конечного пользователя. Соответственно, все эти ваши групповые политики и интюны, нифига не являются нормальным интерфейсом для его настроек.
hondurasez
А чем в текущих реалиях пк отличается от рабочей станции? Если вы намекаете на AD, то его наличие-отсутствие в случае с политиками роли не играет. Defender при всей своей скудности настроек стал нормальным антивирусом, при том бесплатным и по-божески грузящим систему. А то, что виндовс приходится твикать при помощи политик, тюнеров, реестра и ещё такой-то матери - ну так это всегда так было, и виндовс тут тоже ничем на фоне других ОС не выделяется. Человек, запускающий kali явно имеет претензии на какую-то квалификацию, нет?
MiyuHogosha
лицензионными политиками.
По сути , Windows давно идет путем , то что это рабочая станция, управляемая работодателем. Это ваш личный компьютер и работодателю нет до не него дела? До свидания.
Lord_Ahriman
Хах. Поинтересутесь на ЛОРе, почему "тема про Кали" уже стала местным мемом с неизменным цирком, и почему у кучи юзеров там тег "Kali" в игноре.
Nicetas
В текущих реалиях, как и всегда, он отличается тем, что управляется непосредственно пользователем, а не "обратитесь к своему администратору". И вот эти вот политики и реестры... а, ну это я собственно уже написал выше.
Здесь разговор не про виндовс, а про конкретное приложение, которое без всех этих твиков порой просто не даёт сделать то, что нужно пользователю. И никакие EDR/XDR решения этого не оправдывают. Касперского почему-то можно настроить под себя вообще без правки реестра/групповых политик, а дефендер нельзя, вот и весь сказ.
hondurasez
Ну так кто мешает ставить Касперского? Это как WordPad и Word. Кому-то хватит и первого - бесплатно и из коробки.
tester12
Defender - "очень даже неплохой"? Вчера поставил на винду свежевыпущенный Lazarus 3.0. Сделал проект из одной формочки (пустой). Defender тут же сообщает, что получившийся exe-шник (т.е. пустая форма) это вредонос.
DikSoft
А вот тут я бы насторожился. Сторонние компоненты не ставили, сам Lazarus взят с официального источника или с непроверенного зеркала?
Сильно напомнило историю с Delphi и сомнительными VCL. Когда собираемые программы получали внутрь трояна из сторонней библиотеки.
MiyuHogosha
Каспреский делает тоже самое с майкрософтским компилятором при наличии в коде цикла обхода дерева файлов. От ложных срабатываний никто не застрахован.
vikarti
Defender имеет одно большое преимущество - очень маловероятно что его обновления приведут систему в незагружабельное состояние (и не ремонтопригодное кроме как "попробовать установить ту же версию винды поверх с USB" состояние или переподнимать с бекапаа). У KES'а вот получилось - Safe Mode не стартует, System Recovery point при установке он не сделал.
nidalee
Все так и есть в принципе. И это я говорю с платной подпиской Касперского :)
Или вы думаете, что только дефендер может сносить что попало?
MountainGoat
Только Дефендер нельзя уговорить, чтобы он этого не делал. Несколько раз я попадал в ситуации, когда он делает нежелательную фигню, и нет опции сказать ему, чтобы он так не делал, кроме как отключить целиком, например, всю детекцию шифровальщиков.
nidalee
Да это еще что. Касперского вообще не заставишь файл вернуть после удаления. Поэтому я его и снес.
Заколебался пересоздавать venv для поделий на питоне. Если Касперскому что-то не понравилось и файл улетел в карантин, то все, можете любые исключения добавлять и пытаться восстановить файл - больше он там не появится с тем же названием.
MountainGoat
File Anti-Virus Settings -> Actions on threat detection -> Block.
Иначе он не позволяет просто вернуть файл из карантина и всё. Надо сначала или исключение поставить, или сканирование на паузу. Соглашусь, что это можно было бы делать автоматически.
Lord_Ahriman
Да ладно. Тем же многие антивирусы грешат, Авира, например (по крайней мере, пока я ей пользовался). Касперский без соответствующей слегка неочевидной настройки.
Brakomes
Где вы находите столько долбо@бов?
MountainGoat
На Реддите все так думают и всем новоприбывшим говорят. На Хабре вон тоже три минуса в карму прилетели за час. Так что везде.
Nervous_Hoarder Автор
Просто столкнулся с такой проблемой и решил поделиться решением, если вдруг найдётся кто-то такой же паникер-новичок как я.)