Microsoft Defender постоянно сканирует пакеты iso-образа Kali Linux, помечает как вредоносные и дублирует угрозы в журнале событий

Дисклеймер: статья предназначена для ребят, которые только учатся на инфобез и могут наступить на те же грабли, что и я. И предназначена для того, чтобы немного облегчить им жизнь.)

Предисловие: не так давно, за время учебы мне понадобилось скачать iso-файл с Kali Linux для виртуальной машины.

Но после неосмотрительного проведения полного сканирования системы встроенным антивирусом Windows, произошло кое-что неприятное. Microsoft Defender добрался до моего жесткого диска, где лежал iso-файл Kali Linux, взяв его в оборот, начал выдавать целый ворох угроз в журнале событий, требуя предпринять какие-нибудь действия: поместить угрозы в карантин, удалить их или разрешить на устройстве.

Антивирус считает пакеты Kali Linux вредоносным ПО
Антивирус считает пакеты Kali Linux вредоносным ПО

Из самих описаний этих угроз было четко ясно, что дело действительно в образе.

"Вредоносный" пакет обнаружен в iso-файле
"Вредоносный" пакет обнаружен в iso-файле

Однако ни один вариант из предложенных антивирусом нам не подходит. Удалить угрозы? Они часть iso-файла, это не сработает (хотя поспешные и нелепые попытки были). Поместить в карантин? Та же нелепость. Разрешить все угрозы? Долго и рискованно (пакетов очень много).

В спешке и панике первая мысль была — удалить исошник, однако это было невозможно, поскольку Microsoft Defender уже взаимодействовал с ним и не мог прекратить сканирование. При попытке удалить iso-файл открывалось окно с бесконечной загрузкой удаления.

Изначально предпринимались попытки найти ответ в интернете, но особо ничего толкового не нашлось. Кто-то предлагал зайти и удалить файл в безопасном режиме, отключив антивирус, кто-то смог завершить нужный процесс в диспетчере задач. Но все это особо не помогало.

Ссылки на форумы в поисках ответа:

https://www.reddit.com/r/Windows10/comments/kjq8mv/i_cant_delete_a_kali_linux_iso/

https://www.tenforums.com/antivirus-firewalls-system-security/175472-i-cant-delete-iso-file.html

Решение:

Закинуть папку с iso-файлом в исключения. Как оказалось, это был самый простой и работающий вариант.

Заходим в конце журнала Защиты от вирусов и угроз в "Управление настройками"
Заходим в конце журнала Защиты от вирусов и угроз в "Управление настройками"
Прокручиваем до "Исключения" и добавляем нужную папку, где лежит iso-файл
Прокручиваем до "Исключения" и добавляем нужную папку, где лежит iso-файл

После этого антивирус перестанет кричать об угрозах и немного успокоится, а через какое-то время iso-файл можно будет удалить. Однако с каждым последующим включением вы все равно столкнетесь с ситуацией, что антивирус будет сканировать систему и, на основании предыдущих событий будет дублировать их как предупреждения. Таким образом события в журнале текущих угроз будут постоянно дублироваться, а сам журнал — ужасно тормозить. Исправляем.

Как решить проблему с постоянным сканированием уже несуществующих угроз?

Эту проблему решить удалось, опираясь на информацию из этих источников.)
У человека на киберфоруме была такая же головная боль. Но вовремя подоспевший отвечающий дал весьма полезную ссылку.

Киберфорум

Полезная ссылка

В конце концов, мне помог такой способ:

Заходим в PowerShell от имени администратора —> вводим следующую команду:

Set-MpPreference -ScanPurgeItemsAfterDelay 1

"Set-MpPreference настраивает параметры сканирования и обновлений Защитника Windows. Вы можете изменить расширения имен файлов исключения, пути или процессы и указать действие по умолчанию для высокого, умеренного и низкого уровней угрозы. "

Конкретно эта команда устанавливает задержку (в днях), после которой история в журнале защиты будет удалена.

Осталось только ждать. Отматывать вперед системное время нет необходимости, поскольку журнал событий должен очиститься без каких-либо проблем спустя какое-то время (максимум сутки).

Чтобы вернуть все как было, нужно просто снова ввести эту команду в PowerShell от имени администратора и 1 заменить на 0. Тогда список удаляться не будет. Можно также поставить и любое другое значение дней задержки информации в журнале.

Комментарии (41)


  1. DikSoft
    26.12.2023 16:37
    +11

    Этому приколу сто лет , реально повод для статьи на Хабре?


    1. MountainGoat
      26.12.2023 16:37
      -9

      Реально. За пределами хабра вам миллион людей стройным воем скажут, что Defender - лучший антивирус, а любые другие антивирусы покупают только конченые лохи. Так что сколько этот прикол длится, столько и писать.


      1. DikSoft
        26.12.2023 16:37
        +12

        Я Вам и изнутри Хабра скажу, что это очень даже неплохой антивирус, управляемый и расширяемый вплоть до EDR/XDR решений.

        Про то, что ISO Kali в виртуалку и "магазинный" Kali нужно устанавливать в WSL заранее немного предприняв усилий - про это очень давно известно и инфоповодом IMHO не является. Хотя ... Больнее всего наступать на детские грабли, да.


        1. MountainGoat
          26.12.2023 16:37
          +3

          Ну да, когда антивирус считает файл подозрительным, а потом не может его ни удалить, ни оставить, вешая всю систему - то это пользователь наступил на детские грабли.

          А если антивирус прошляпил малварь, то тоже пользователь виноват - нехрен было малварь скачивать.

          Ещё, у меня нет EDR/XDR решений , у меня есть 1 комп. И в такой ситуации у Defender нет настроек вообще. Добавить в исключения тормозной древний USB-диск нельзя. А когда одно время он вздумал ругаться на Rust, пришлось добавить в исключения всю папку Temp - иначе успокоить Defender было нельзя. Мой нынешний антивирус тоже ругается на Rust, но в исключения можно добавить по wildcard и только это конкретное подозрение.

          Короче, как был фуфел, сляпаный на коленке чтобы был благородный повод собирать глубокую телеметрию, так и остался. Только ещё в рекламу миллиардик вбухали, похоже.


          1. DikSoft
            26.12.2023 16:37
            +5

            У меня в WSL одна из систем Kali. Антивирус - Defender, ось - W10 и W11. Свежие версии Kali Linux часто ставлю в Hyper-V из официального .ISO.

            Перед установкой прочитал короткие пояснения, как правильно поставить и добавить в исключения. Никаких проблем. Может всё-таки достаточо специфичные вещи устанавливать надо с минимальной подготовкой, а не обвинять во всём "кривой ативирус"?

            PS Wildcard, кстати, тоже вполне себе вменяемо поддерживается для исключений.


            1. MountainGoat
              26.12.2023 16:37

              А при чём тут Kali вообще? Если антивирус так себя ведёт при детекциях, то что мне мешает взять обнаруживаемую малварь размером в пару килобайт, запаковать в ISO образ 10 000 копий с тривиальной разницей между ними, и этот образ весом 20Мб разослать?


              1. tsem13
                26.12.2023 16:37
                +9

                *стройным воем говорит что дефендер хороший антивирус и ждёт законно заработанную часть от выделенного на рекламу миллиарда*

                Нет, ну правда - тема на киберфоруме моя :) Такая проблема за годы пользования случилась раз. А я админю всякое и люди там скачивающие всякое попадаются всякие. Вот вам мой опыт - дефендер и правда максимально беспроблемный по сравнению с аналогами (мне довелось пользоваться симантеком (корпоративной версией), авастом, дрвёбом, касперским (корпоративной версией)и случайно - пандой на китайских тачках на контроллерах завода. Систему дефендер как раз не повесил, в отличии от того что бывало с этими вот парнями, просто зациклился в своих же логах. Работать при этом не перестал и проч. Баг? Баг. Вы доложили разработчику? Нет. Так чего ж шумите?

                Антивирус это в принципе штука которая сидит в вашей системе и делает что то там. Это неприятно явление чисто с точки зрения юникс-вей. Но увы, это меньшее зло, необходимое потому что люди по своей природе склонны поднасрать своему ближнему (см. хакеры, вирусописатели, вирусорассылатели-шутники и проч.) Не рассылайте этот образ весом 20Мб. Пожалуйста :)


          1. Kenya-West
            26.12.2023 16:37
            +1

            Ещё, у меня нет EDR/XDR решений , у меня есть 1 комп

            К сожалению, вы находитесь в невыгодной ситуации. Это EDR/XDR решениям нет дела до вас, а не вам до них.

            И в такой ситуации у Defender нет настроек вообще

            GP, regedit, MDM, Intune?

            Defender - это одна из самых гибких платформ с неплохим интеграциями для конечных устройств. Не поверю, что у антивируса (который является, кстати, лишь компонентом данной платформы) не хватает базовых настроек для ваших нужд.


            1. Nicetas
              26.12.2023 16:37
              +1

              Вообще-то в статье речь про ПК, а не рабочую станцию. И не про некую"платформу", а про софт для конечного пользователя. Соответственно, все эти ваши групповые политики и интюны, нифига не являются нормальным интерфейсом для его настроек.


              1. hondurasez
                26.12.2023 16:37

                А чем в текущих реалиях пк отличается от рабочей станции? Если вы намекаете на AD, то его наличие-отсутствие в случае с политиками роли не играет. Defender при всей своей скудности настроек стал нормальным антивирусом, при том бесплатным и по-божески грузящим систему. А то, что виндовс приходится твикать при помощи политик, тюнеров, реестра и ещё такой-то матери - ну так это всегда так было, и виндовс тут тоже ничем на фоне других ОС не выделяется. Человек, запускающий kali явно имеет претензии на какую-то квалификацию, нет?


                1. MiyuHogosha
                  26.12.2023 16:37
                  +2

                  лицензионными политиками.

                  По сути , Windows давно идет путем , то что это рабочая станция, управляемая работодателем. Это ваш личный компьютер и работодателю нет до не него дела? До свидания.


                1. Lord_Ahriman
                  26.12.2023 16:37
                  +1

                  Человек, запускающий kali явно имеет претензии на какую-то квалификацию, нет?

                  Хах. Поинтересутесь на ЛОРе, почему "тема про Кали" уже стала местным мемом с неизменным цирком, и почему у кучи юзеров там тег "Kali" в игноре.


                1. Nicetas
                  26.12.2023 16:37

                  В текущих реалиях, как и всегда, он отличается тем, что управляется непосредственно пользователем, а не "обратитесь к своему администратору". И вот эти вот политики и реестры... а, ну это я собственно уже написал выше.

                  А то, что виндовс приходится твикать

                  Здесь разговор не про виндовс, а про конкретное приложение, которое без всех этих твиков порой просто не даёт сделать то, что нужно пользователю. И никакие EDR/XDR решения этого не оправдывают. Касперского почему-то можно настроить под себя вообще без правки реестра/групповых политик, а дефендер нельзя, вот и весь сказ.


                  1. hondurasez
                    26.12.2023 16:37

                    Ну так кто мешает ставить Касперского? Это как WordPad и Word. Кому-то хватит и первого - бесплатно и из коробки.


        1. tester12
          26.12.2023 16:37
          +3

          Defender - "очень даже неплохой"? Вчера поставил на винду свежевыпущенный Lazarus 3.0. Сделал проект из одной формочки (пустой). Defender тут же сообщает, что получившийся exe-шник (т.е. пустая форма) это вредонос.


          1. DikSoft
            26.12.2023 16:37
            +2

            А вот тут я бы насторожился. Сторонние компоненты не ставили, сам Lazarus взят с официального источника или с непроверенного зеркала?

            Сильно напомнило историю с Delphi и сомнительными VCL. Когда собираемые программы получали внутрь трояна из сторонней библиотеки.


            1. MiyuHogosha
              26.12.2023 16:37
              +2

              Каспреский делает тоже самое с майкрософтским компилятором при наличии в коде цикла обхода дерева файлов. От ложных срабатываний никто не застрахован.


      1. vikarti
        26.12.2023 16:37
        +3

        Defender имеет одно большое преимущество - очень маловероятно что его обновления приведут систему в незагружабельное состояние (и не ремонтопригодное кроме как "попробовать установить ту же версию винды поверх с USB" состояние или переподнимать с бекапаа). У KES'а вот получилось - Safe Mode не стартует, System Recovery point при установке он не сделал.


      1. nidalee
        26.12.2023 16:37
        +1

        Все так и есть в принципе. И это я говорю с платной подпиской Касперского :)

        Или вы думаете, что только дефендер может сносить что попало?


        1. MountainGoat
          26.12.2023 16:37

          Только Дефендер нельзя уговорить, чтобы он этого не делал. Несколько раз я попадал в ситуации, когда он делает нежелательную фигню, и нет опции сказать ему, чтобы он так не делал, кроме как отключить целиком, например, всю детекцию шифровальщиков.


          1. nidalee
            26.12.2023 16:37

            Да это еще что. Касперского вообще не заставишь файл вернуть после удаления. Поэтому я его и снес.

            Заколебался пересоздавать venv для поделий на питоне. Если Касперскому что-то не понравилось и файл улетел в карантин, то все, можете любые исключения добавлять и пытаться восстановить файл - больше он там не появится с тем же названием.


            1. MountainGoat
              26.12.2023 16:37

              File Anti-Virus Settings -> Actions on threat detection -> Block.

              Иначе он не позволяет просто вернуть файл из карантина и всё. Надо сначала или исключение поставить, или сканирование на паузу. Соглашусь, что это можно было бы делать автоматически.


          1. Lord_Ahriman
            26.12.2023 16:37

            Только Дефендер нельзя уговорить, чтобы он этого не делал

            Да ладно. Тем же многие антивирусы грешат, Авира, например (по крайней мере, пока я ей пользовался). Касперский без соответствующей слегка неочевидной настройки.


      1. Brakomes
        26.12.2023 16:37
        -2

        Где вы находите столько долбо@бов?


        1. MountainGoat
          26.12.2023 16:37
          +1

          На Реддите все так думают и всем новоприбывшим говорят. На Хабре вон тоже три минуса в карму прилетели за час. Так что везде.


    1. Nervous_Hoarder Автор
      26.12.2023 16:37
      +4

      Просто столкнулся с такой проблемой и решил поделиться решением, если вдруг найдётся кто-то такой же паникер-новичок как я.)


  1. Minysovka
    26.12.2023 16:37

    Тоже начал проходить курсы по кибербезопасности, но такой проблемы со своим дефендером не встретил


    1. Nervous_Hoarder Автор
      26.12.2023 16:37
      +4

      Значит, не наступили на мои же грабли.)

      Просто хотелось написать целостное решение для таких же новичков как я, которые только учатся и могут допустить такие же ошибки.


      1. DikSoft
        26.12.2023 16:37

        Всего одно вводное предложение могло сильно улучшить отношение к неплохой в целом статье.


        1. Nervous_Hoarder Автор
          26.12.2023 16:37

          А ведь действительно, наверное, стоило вписать это пояснение в начало. Отредактирую тогда, пожалуй! Спасибо за фидбек.


      1. xxxphilinxxx
        26.12.2023 16:37

        Просто хотелось написать целостное решение

        Я бы тогда посоветовал проделать еще две вещи: во-первых, объяснить, что делает команда, а то иначе это заклинание :) в идеале еще и дать команду, отменяющую эффект первой; во-вторых, хотя бы в двух словах описать информацию по ссылкам. Знаете, как обидно бывает, когда ищешь решение какой-нибудь нетривиальной проблемы, находишь на старых форумах, вероятно, единственную во всем интернете ветку с ее обсуждением, которая заканчивается словами "вот по ссылке решение, мне помогло", а ссылка уже нерабочая? Или что-то на скриншотах, которые тоже уже не грузятся.


        1. Nervous_Hoarder Автор
          26.12.2023 16:37

          Спасибо за фидбек, дружище. Конечно внесу эти улучшения в статью. Мне ещё многому предстоит научиться.


      1. Minysovka
        26.12.2023 16:37

        Возможно у меня еще всё впереди)


  1. kasiopei
    26.12.2023 16:37
    +2

    А что не так? Многие антивирусы агрятся на хакерские инструменты. Он же пишет "hacktool" Он не знает вы специально скачали или вам кто-то внедрил. Решение принимать вам. Причем это как бы известные программы из базы. Эвристический анализатор тоже должен агрится на специфический набор api вызовов. Обычно такое добро складывается в отдельную папку и заносится в исключения.


    1. Nervous_Hoarder Автор
      26.12.2023 16:37

      Оно и понятно. Никаких обвинений в сторону дефендера не имею, весьма хороший антивирус.)
      Просто произошла вот такая нелепая ситуация, с которой пришлось немного повозиться и опубликовать решение. Самое забавное, в моем случае получилось объединить несколько проблем - это удаление исошника и остановка постоянного сканирования системы. Но что ж, все приходит с опытом.


  1. Lord_Ahriman
    26.12.2023 16:37
    +1

    Очень многие антивирусы имеют детект "угрозы" "hack tool" (у меня на работе Касперский, например, ругался на Process Explorer из Sysinternals Suite). А Kali, очевидно, более чем подходит под ""hack tool". Повторным детектом больших файлов тоже многие грешат (тот же Каспер и ДрВеб, как минимум). Дефендер хотя бы не вешается на этих больших файлах, в отличие от некоторых.


    1. Nervous_Hoarder Автор
      26.12.2023 16:37

      Подтормаживает, но не вешается, тут действительно в точку. И это здорово, иначе вешаться пришлось бы и юзеру.


  1. ewgenc
    26.12.2023 16:37

    Достаточно дано лежит несколько образов Kali, виртуалка развернута, ничего подобного случаю автора нет.


    1. Nervous_Hoarder Автор
      26.12.2023 16:37

      Это произошло после проведения полного сканирования антивирусом без предварительной подготовки, чтобы защитить исошник от обнаружения.)

      Так что возможно вы либо все сделали правильно, либо ещё не сканировали дефендером систему полностью.


  1. nronnie
    26.12.2023 16:37
    +1

    Закинуть папку с iso-файлом в исключения. Как оказалось, это был самый простой и работающий вариант.

    Кто бы мог подумать.


  1. IgorBelyakov
    26.12.2023 16:37

    Удивительно, почему это антивирус агрится на "софт для хакеров"))