卡巴斯基发布了OSS防病毒工具，所以我尝试了一下（卡巴斯基病毒删除工具Linux版）

你好。
早上，
系统解决方案部门的内存不足。

最近我正在寻找一款好的OSS杀毒软件产品，
著名的卡巴斯基公司在六月份左右发布了一款名为“ Kaspersky Virus Removal Tool for Linux ”的工具，我对此很感兴趣，所以我想写一篇文章简单介绍一下。经核实为备忘录。

下载

■验证环境

Ubuntu 24.04 LTS 卡巴斯基病毒删除工具 24.0.5.0 

请尝试从下面下载。
https://www.kaspersky.com/downloads/free-virus-removal-tool

基本上按照官方流程就可以了。
很方便，因为每次都会执行，所以不需要安装。
https://support.kaspersky.com/help/kvrt/2024/en-us/269465.htm

从浏览器下载后，更改权限并尝试运行。
首先，要从 GUI 执行的模式。

$ cd ~/Downloads $ chmod +x kvrt.run $ ./kvrt.run 以 root 权限运行 生成的目录是</tmp/9d208c686fe9d56312596>正在验证存档完整性... 100% SHA256 校验和正常 解压缩适用于 Linux 的卡巴斯基病毒删除工具 24.0.5.0 100% ===================== =。 ========== 使用 args <> 运行 kvrt =================================== compver ：24.0.5.0 x86-64（2024年7月9日17:36:48）产品文件夹----------------------------------------

▼ 将显示使用条款，因此，如果您可以确认每一项，请选中该框并继续下一步。

▼ 第一次会显示版本信息，如果可以确认，请按关闭，然后立即单击[开始扫描]。

▼ 等待扫描执行。这次我用干净的图像运行它，所以没有检测到任何东西。

该工具只能现场运行，不具备实时扫描功能。
如果你想手动运行它，使用GUI没有问题，但如果你想定期运行它，建议将它放在cron中并通过CLI运行它。

下次我会通过 CLI 尝试。

通过 CLI 执行

首先，帮助。
https://support.kaspersky.com/help/kvrt/2024/en-us/269475.htm

-h - 显示帮助 -d<folder_path> - 隔离和报告文件夹的路径 -accepteula - 接受 EULA、隐私政策和 KSN 声明 -trace - 启用跟踪收集 -tracelevel<level> - 设置跟踪级别： ERR - 仅错误消息 WRN - 警告和错误 INF - 信息、警告和错误 DBG - 所有消息 -processlevel<level> - 设置要消除的物体的危险等级： 0 - 跳过高、中、低危险等级的物体 1 - 消除高危险等级的物体 2 - 消除高、中危险等级的物体 3 - 消除高、中、低危险等级的物体中低危险级别 -dontencrypt - 禁用跟踪文件/报告/转储文件的加密 -details - 启用详细报告 -proxyconfig<config_file_path> - 使用代理配置的文件路径 -silent - 不使用 GUI 运行扫描 -adinsilent - 在静默模式下运行主动消毒 -allvolumes - 添加所有卷进行扫描 -custom<folder_path> - 用于扫描的自定义文件夹的路径 -customlist<file_path> - 包含用于扫描的自定义文件夹的文件路径 - 排除<folder_path>-从自定义扫描中排除路径 -excludelist<file_path> - 排除自定义扫描的文件路径 -customonly - 仅运行自定义文件夹扫描

我将尝试以最少的选项运行它。

-silent 阻止 GUI 启动。
-接受跳过约定。

$ ./kvrt.run -- -silent -accepteula 图形模式为<wayland>localuser:root 被添加到访问控制列表 以 root 权限运行 生成的目录是</tmp/92302b5bca4f82e716374>正在验证存档完整性... 100% SHA256 校验和正常 解压缩适用于 Linux 的卡巴斯基病毒删除工具 24.0.5.0 100% ===================== =。 ========== 使用参数运行 kvrt <-trace -silent -accepteula> ============================= = ===== 编译器：24.0.5.0 x86-64（2024 年 7 月 9 日 17:36:48） 产品文件夹 ======================== = ======== 扫描开始 =================================== ===== = =========================== 扫描已完成，结果为：已处理：27957 处理错误：0 检测到：0 密码保护：0 已损坏：0 =================================================== = ================ kvrt 退出，代码为 <0> ============================ = ====== localuser:root 已从访问控制列表中删除

就像运行 GUI 时一样，没有检测到任何内容。

尝试检测恶意软件

接下来，让我们检测恶意软件。
作为准备，从 eicar 站点（在 ./Downloads 下）下载以下文件。
https://www.eicar.org/download-anti-malware-testfile/

▼ 将 eicar 文件放在“下载”下。

$ ls -l 总计 151296 -rw-rw-r-- 1 hamchan hamchan 68 十月 29 10:26 eicar.com -rw-rw-r-- 1 hamchan hamchan 184 十月 28 14:01 eicar_com.zip

这次，我将指定“下载”下的文件夹并运行它。

-trace 启用跟踪。
-tracelevel 设置为“DEBUG”以输出所有事件日志。
-custom 指定检查目录。
-processlevel 这次，将其设置为 3，以检测从低到高范围内的所有威胁。

 ./kvrt.run -- -accepteula -trace -tracelevel DBG -custom /home/hamchan/Downloads/ -processlevel 3 -silent 图形模式为<wayland>localuser:root 被添加到访问控制列表 以 root 权限运行 生成的目录是</tmp/74a8bcf3a3339fc810150>正在验证存档完整性... 100% SHA256 校验和正常 解压缩适用于 Linux 的卡巴斯基病毒删除工具 24.0.5.0 100% ===================== =。 ========== 使用参数运行 kvrt <-accepteula -trace -tracelevel DBG -custom /home/hamchan/Downloads/ -processlevel 3 -silent> ============ = ==================== 编译器：24.0.5.0 x86-64（2024 年 7 月 9 日 17:36:48） 产品文件夹 ========= = ======================= 扫描开始 ======================= = ========= 威胁<EICAR-Test-File>在物体上检测到</home/hamchan/Downloads/eicar.com>威胁<EICAR-Test-File>在物体上检测到</home/hamchan/Downloads/eicar_com.zip>================================= 扫描完成，结果为：已处理：27961 处理错误：0 检测到：2 密码受保护：0 已损坏：0 =================================== 操作<Cure>被选择为威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar.com>行动<Cure>被选择为威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar_com.zip>===================================消毒开始============== =================== 消毒行动<Quarantine>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar.com>已完成状态<Quarantined>消毒行动<Quarantine>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar_com.zip>已完成状态<Quarantined>消毒行动<Cure>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar.com>已完成状态<CureFailed>消毒行动<Cure>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar_com.zip>已完成状态<CureFailed>消毒行动<Delete>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar.com>已完成状态<Deleted>消毒行动<Delete>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar_com.zip>已完成状态<Deleted>================================= 消毒完成，结果：已处理：4 处理错误：0 已跳过：0 已隔离: 2 隔离失败: 0 已治愈: 0 治愈失败: 2 重新启动后修复: 0 已删除: 2 重新启动时删除: 0 已恢复: 0 重新启动时恢复: 0 ================ ================= =================================== kvrt 退出，代码为 <0> =================================== localuser:root 已从访问控制列表中删除

从日志来看，病毒被隔离后似乎被成功检测并删除。
目录中也缺少文件。

$ ls -lha drwxr-xr-x 2 hamchan hamchan 4.0K 10 月 29 日 10:49 drwxr-x--- 17 hamchan hamchan 4.0K 10 月 29 日 10:44 ..

顺便说一句，每次执行时，隔离文件都会保存在以下位置（以 root 身份执行时）。

$ sudo ls -l /var/opt/KVRT2024_Data 总计 24 drwx-------- 2 root root 4096 Oct 28 13:52 异常 drwx----- 2 root root 4096 Oct 29 10:45 '法律声明' drwx------ 4 root root 4096 10 月 29 日 10:49 隔离 drwx------ 2 root root 4096 10 月 29 日 10:45 报告 drwx------ 2 root root 4096 10 月 29 日 10:49 Temp drwx------ 2 root root 4096 Oct 29 10:45 Traces $ sudo ls -l /var/opt/KVRT2024_Data/Quarantine 总计 12 drwx------ 2 root root 4096 Oct 29 10:49 KVRTQ0001 drwx------ 2 根 根 4096 十月 29 日 11:34 KVRTQ0002 drwx------ 2 根 根 4096 十月 29 日 11:41 KVRTQ0003

如果由于过度检测等原因想要恢复文件，可以通过 GUI 来完成。
https://support.kaspersky.com/help/kvrt/2024/en-us/269476.htm
▼ 从列表中选择文件并将其恢复到原始目录。

相对于收费的软件来说，上面的内容很简单，但是
由于它可以用OSS做很多事情，并且操作起来相对较轻，所以我认为对于个人使用来说还是相当有用的。
微软好像最近发布了一个针对Linux的工具，有时间的话想看看。

完全的