Linux卡巴斯基杀毒（kesl）基础操作

最新推荐文章于 2023-03-02 11:37:59 发布

B1u3Buf4

最新推荐文章于 2023-03-02 11:37:59 发布

阅读量6.3k

点赞数

分类专栏：安全研究文章标签：安全

本文链接：https://blog.csdn.net/qq_15174755/article/details/122192366

版权

安全研究专栏收录该内容

11 篇文章 4 订阅

订阅专栏

卡巴斯基一直是杀毒软件业内的专业代表，以查杀率较高著名，不过查杀速度相对较慢。kesl是卡巴斯基在Linux系统上较新的杀毒程序，早期版本还有kav4fs，已经不建议使用。

kesl作为商业软件，在服务器区的LInux主机查杀中通常可以较好地替代开源产品calmav，有不错的查杀能力。同时因为使用命令行操作，可以结合python等脚本语言进行二次开发，较为方便地完成一些定期扫描等简单任务。

kesl软件通常可以通过官方提供的rpm软件包进行安装。安装过程中会有是否安装WEB UI等设置，可以根据实际需求开关，WEB UI通常是用不到的。

license

安装完成后是有一个月的试用时间的。当然，支持正版可以在官网购买key。

命令

kesl-control是kesl安装完成之后，执行命令行命令控制kesl的工具。

--help 查看所支持的功能操作。
--app-info 查看软件信息。可以查看到软件的有效期，病毒库特征数量，病毒库更新时间。
--get-task-list 可以查看所有的任务

kesl的任务

kesl安装完成后默认会有12个任务，用户根据实际场景开启，还可以添加自定义的扫描任务。如果是做服务器主机的保护，建议开启文件扫描监控等服务（对高并发高资源占用的服务不适合）。如果是内网防护产品还原文件，需要统一进行查杀检测的场景，建议只开必要的服务。

这里ID为9（License）和10（Backup）的两项任务是无法停止的。ID为121是自定义创建的任务。

Number of tasks: 13
Name: File_Monitoring
    ID     : 1
    Type   : OAS
    State  : Stopped
Name: Scan_My_Computer
    ID     : 2
    Type   : ODS
    State  : Stopped
Name: Scan_File
    ID     : 3
    Type   : ODS
    State  : Stopped
Name: Boot_Scan
    ID     : 4
    Type   : BootScan
    State  : Stopped
Name: Memory_Scan
    ID     : 5
    Type   : MemoryScan
    State  : Stopped
Name: Update
    ID     : 6
    Type   : Update
    State  : Stopped
Name: Rollback
    ID     : 7
    Type   : Rollback
    State  : Stopped
Name: Retranslate
    ID     : 8
    Type   : Retranslate
    State  : Stopped
Name: License
    ID     : 9
    Type   : License
    State  : Started
Name: Backup
    ID     : 10
    Type   : Backup
    State  : Started
Name: Firewall_Manager
    ID     : 12
    Type   : Firewall
    State  : Stopped
Name: Anti_Cryptor
    ID     : 13
    Type   : AntiCryptor
    State  : Stopped
Name: cloudscan
    ID     : 121
    Type   : ODS
    State  : Stopped

安装后出现文件无法操作的情况

比较直观的操作是cat命令读取某个文件文本内容时会提示无法正常执行。

通常在卡巴斯基安装后，默认开启了文件监控（file threat protection）服务，对于一些识别到的恶意文件，会采取一种类似锁死的方式（无法做任何操作），避免被在主机上被操作执行。假如干扰到正常的工作文件，需要停掉文件监控服务，操作的步骤：

通过–get-task-list查看任务开启的状态，一般文件监控服务的ID为1。
执行kesl-control --stop-task 1关闭文件监控。

手动扫描

最简单扫描方式是通过scan-file指定路径进行扫描。

kesl-control --scan-file PATH

扫描结果

扫描结果会记录在kesl程序的日志中，需要特定命令-E去完成读取，读取日志支持添加--query参数进行过滤。（XXX表达式主要是过滤用的条件表达式。）

kesl-control -E --query XXX

kesl的日志是以每个“字段==值”为一行进行记录的，所以要取到指定的病毒名称需要一些技巧，通常使用过滤条件、管道和grep取到最后的结果。

kesl-control -E --query \"EventType==\'ThreatDetected\'\"|grep FileName=/data/test/ -A 5

默认查杀日志中，病毒名称在样本路径的前5行，所以查询已经扫描出来的结果可以使用上述指令。其中，ThreatDetected表示被检出的威胁。

B1u3Buf4

关注

0
点赞
踩
6

收藏

觉得还不错? 一键收藏
1
评论
Linux卡巴斯基杀毒（kesl）基础操作

卡巴斯基一直是杀毒软件业内的专业代表，以查杀率较高著名，不过查杀速度相对较慢。kesl是卡巴斯基在Linux系统上较新的杀毒程序，早期版本还有kav4fs，已经不建议使用。作为商业软件，kesl在服务器区的LInux主机查杀中通常可以较好地替代开源产品calmav，有不错的查杀能力。同时因为使用命令行操作，可以结合python等脚本语言进行二次开发，较为方便地完成一些定期扫描等简单任务。
复制链接

扫一扫