Отличия KRD от KES при сканировании

Добрый день, @imf!

Спасибо за интересный вопрос! В принципе, оба утверждения имеют право на жизнь и в по большей части верные.

Да, система блокирует некоторые файлы на диске при чтении через штатное API. Но это не мешает использовать низкоуровневое чтение диска для их анализа и детектирования. Такие файлы сложно пролечить после детекта, но методы тоже есть.

Но и у KRD имеется ряд ограничений, которых нет у KES’а:

1. Если система защищена дисковым (VeraCrypt, KLFDE и т.д.) или томовым (BitLocker, VeraCrypt и т.д.) шифрованием, то KRD на текущий момент бессилен помочь
2. Есть ряд узкоспециализированных мест запуска\хранения исполняемых файлов\скриптов для которых отсутствуют парсеры в KRD, т.к. при работе в живой системе используется родное API для доступа к этим хранилищам

Есть ряд категорий вредоносного ПО, которое тяжело вылечить из заражённой системы:

1. Вымогатели, которые блокируют полноценную загрузку ОС
2. Руткиты, которые виртуализируют запись на диск\том и после перезагрузки отказывают все изменения
3. Руткиты, которые активно препятствуют загрузке\работе драйверов антивирусного ПО

Но надо признать, что доля такого вредоносного ПО вот очень мала.

Итого - для защиты компьютера в реальном времени KES’а достаточно. Но если есть какие-то подозрения на недетектируемую вредоносную активность то запустить KRD и проверить им будет не лишним. Также после детекта и лечения или просто с некой периодичностью можно сканировать систему с помощью KRD - хуже от этого не будет, но и дополнительных детектов скорее всего тоже. Каждый для себя решает сам какой уровень безопасности его устраивает и сколько усилий он готов для этого прилагать...

К написанным Денисом проблемам могу добавит ещё:

1. Проблемы с загрузкой на системах с видеокартами NVidia, которые требуют проприетарных драйверов
2. Проблемы с загрузкой на системах с современными аппаратными рейдами (IRST и т.д.)