Перейти к содержанию
xck

Описание назначений файлов компонентов используемых SEP'ом

Автор xck, в Вопросы по Symantec Endpoint Protection

Recommended Posts

xck    25

xck
Опубликовано

Здравствуйте,

искал описания назначений некоторых файлов используемых антивирусным клиентом SEP, как к примеру - ProtectionUtilSurrogate.exe для чего он нужен, какие действия выполняет?

Подскажите есть ли соответствующий документ с описанием исполняемых файлов и библиотек используемых SEP'ом?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

xck    25

xck
Опубликовано
....для связи компонент

Спасибо, а по остальным документация не попадалась?

Вот претенденты:

- Checksum.exe

- ControlAP.exe

- DoScan.exe

- dot1xtray64.exe

- DWHWizrd.exe

- LuaWrap.exe

- nlnhook.exe

- PatchWrap.exe

- Rtvscan.exe

- RtvStart.exe

- SavUI.exe

- SescLU.exe

- Smc.exe

- SmcGui.exe

- smcinst.exe

- SNAC64.EXE

- SymCorpUI.exe

- SymDelta.exe

- WSCSAvNotifier.exe

Описание некоторых сервисов я знаю (к примеру Rtvscan.exe), но все же может есть сводная таблица или еще какой либо документ содержащий описания?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано
xck

вроде как описаны часть процессов в админ гьюде. По остальному - нужно искать в сети. Кто то как то поднял тему на STN. Путем так и не ответили... Документа описывающего подробно в паблике нет.

опишу грубо что знаю:

- Checksum.exe - для host integrity и контроля приложений

- DoScan.exe - антивирусная проверка вручную. команды как то писались мной здесь на форуме для запуска проверки

- Rtvscan.exe - ну это понятно. фоновый процесс. если его нет = не работает антивирусная защита. по этому фактору мониторю все сервера в Nagios

- SavUI.exe - этот и следующий процесс для обновления с управляющего сервера или через GUP. Есть еще Luall.exe :)

- SescLU.exe

- Smc.exe для связи с управляющим сервером, также связывает часть компонент приложения. Если не запущен, клиент ничего не сообщит управляющему серверу и не получит от него информации (политики, обновление, отчеты, состояние клиента SEP и т.п.)

- SmcGui.exe - интерактивное меню, трей.

(Disabling SmcGui

o Firewall prompts (packets will be dropped)

•Creation of a user’s private log directory

•Startup Scans

•Floppy disk detection on shutdown

)

- SNAC64.EXE - Symantec Network access control. Присутствует всегда даже если правила межсетевого экрана неактивны. Практически ничего в этом случае из ресурсов не ест.

- SymCorpUI.exe - то же самое для LU

- WSCSAvNotifier.exe - насколько знаю, выдает сообщение при заходе на сервер о вирусе.

Вот так, примерно. За грубое описание извиняйте :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Вопросы по Symantec Endpoint Protection

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?  
×