Kaspersky volume shadow copy service bridge что это

Обновлено: 30.06.2024

В последнее время пользователи компьютеров с OC Windows в корпоративном секторе всё чаще и чаще сталкиваются с угрозой шифрования рабочих файлов. Как показывает практика, периодические информационные письма о потенциальной опасности ссылок в письмах от незнакомых адресатов или “Судебных приставов” влияние на пользователей оказывают слабое. В этой заметке мы рассмотрим административные действия, которые помогут увеличить шансы восстановления пользовательских файлов после деструктивных действий программ шифровальщиков. В качестве основного инструмента мы будем использовать утилиту vshadow.exe и возможности технологии создания VSS-снимков в ОС Windows.

Сразу следует сделать важную оговорку о том, что данный метод поможет только в случае отсутствия у пользователей полных административных прав на их компьютерах. Ибо пользователь с административными правами способен, зачастую сам не понимая того, запустить зловредное ПО, способное на сегодняшний день оперировать данными VSS-снимков, попросту удаляя их.

Итак, нам понадобится утилита vshadow.exe, которую можно достать из пакета Windows SDK. Характерно для этой утилиты то, что, хоть версии vshadow.exe в разных версия ADK и не отличаются, но размер исполняемого файла в разных версиях ADK разный. Поэтому, чтобы свести возможные коллизии в работе утилиты на разных версиях ОС Windows к минимуму, мы будем использовать "родной" vshadow для каждой версии ОС.

Разложим соответствующие копии файлов vshadow.exe по подпапкам в зависимости от версии и разрядности ОС Windows. Затем создадим PowerShell-скрипт, который будет отвечать за распространение нужной копии vshadow на клиентские компьютеры корпоративной сети с параллельным включением механизма "Точек восстановления".

Пример такого PS-скрипта:

Скрипт нужно распространить на клиентские компьютеры для последующего выполнения любым удобным для способом. Мы традиционно для этого используем возможности System Center 2012 R2 Configuration Manager (SCCM). В SCCM создаётся пакет, в котором настраивается программа для запуска скрипта следующим образом:

Обратите внимание на то, что в скрипте используется виртуальный каталог " $env:SystemRoot\Sysnative " , который доступен только в 64-битных ОС. Пришлось использовать его из-за того, что Powershell скрипты в SCCM могут выполнятся только в 32-битном контексте.

После распространения vshadow необходимо настроить расписание запуска этой утилиты для периодического создания VSS-снимков системы. Воспользуемся механизмом GPP в конфигурации компьютера и создадим задание для планировщика Windows.

image

Задание необходимо запускать от имени NT AUTHORITY\СИСТЕМА.

Настраиваем создание снимка каждый день в нужное нам время, команда для создания снимка:

image

image

При этом включим и настроим нацеливание Item-Level Targeting таким образом, чтобы задание планировщика создавалось на клиентском компьютере только в том случае, если в системе имеется утилита vshadow.exe.

image

По аналогии сделаем ещё одно задание планировщика, которое будет отвечать за удаление старых VSS-снимков, например 1 раз в неделю командой (правила определения того, что снимок является устаревшим мы раздали на компьютеры ранее с помощью выше-указанного PS-скрипта):

image

image

Что делать, если пользователь "словил шифровальщика"?
Открываем командную строку от имени административной учётной записи и смотрим доступные нам VSS-снимки с помощью команды:

image

В данном примере мы видим, что нам доступен 1 снимок.

Для использования данных в снимке смонтируем её, например, как диск "X:" командой:

image

Подключённый диск будет доступен только для чтения, и вы сможете скопировать все необходимые данные любым файловым менеджером.


Добрый день ребята, сегодня наша тема это klvssbrigde64, я должен узнать что это такое и тут нормальным языком написать вам об этом. Значит ребята, первое что я нашел, так это упоминание о том что klvssbrigde64 имеет отношение к антивирусу Касперского. Однако я сразу вспомнил такую ерунду, что бывает вирусы косят под известные проги, делают они это специально, чтобы отвести подозрения. Именно поэтому я буду еще искать инфу, чтобы уж точно разобраться с тем что такое klvssbrigde64!.

Ну вот я нашел уже второй сайт, а вернее форум, и это официальный форум Касперского, где спрашивают о том что за служба klvssbrigde64. Так что получается, это реально служба антивируса Касперского. Как бы там не было, пока что польза в сторону Касперского!

Вот что еще узнал, что вроде как служба klvssbrigde64 работает под процессом vssbridge64.exe, эта инфа не точняковская, но скорее всего так и есть! И вот вообще, процесс этот запускается вот из этой папки:

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 16.0.0\x64\

Только понятное дело, что у вас версия Касперского может быть другая. Вот один чел пишет, что если посмотреть в свойства службы, то там есть поле Описание и там указано что это это служба теневого копирования.. То есть если немного раскинуть мозгами, то скорее всего эта служба для бэкапов, ну получается так

Короче на форуме один чел взял и написал в техническую поддержку Лабаратории Касперского, потом они там ответили, знаете что? Ну короче служба klvssbrigde64 нужна для взаимодействия между 32-битным процессом avp.exe и 64-битной службой теневого копирования томов (volume shadow copy), все это касается вроде как только 64-битных версий виндовс.

В общем какое лично мое мнение? Да, все именно так, на вирус это не похоже, это реально служба от Касперского, такое мое мнение. Останавливать ее не нужно как и вообще службы Касперского трогать не советую. Если что, то лучше написать в поддержку, они там уж точно правильно посоветуют. А то если что не так сделаете, то Касперский поламается и все, вирусяки атаковать будут.

Так, я на всякий случай еще поискал инфу о процессе vssbridge64.exe.. Но в итоге также не нашел никакой инфы, и это говорит о том, что можно сделать вывод что klvssbrigde64/vssbridge64.exe это не опасно, не вирус и представляет из себя службу антивируса Касперского, удалять или отключать не советуется!

Пользователи Антивируса Касперского сообщают о наличии в их пакете процесса с именем vssbridge64.exe . В АО «Лаборатория Касперского» заявили, что процесс является частью антивируса. Он известен как Kaspersky Volume Shadow Copy Service Bridge , и в этой статье мы объясним, что это такое, а также обсудим, как он используется и почему он присутствует на вашем компьютере.


Прежде чем мы начнем, позвольте мне дать вам краткий обзор основных тем, затронутых в этой статье. Здесь мы поговорим о:

Что такое служба vssbridge64.exe? Является ли он частью пакета Антивируса Касперского? Что такое служба теневого копирования тома? Что такое 32-битный процесс avp.exe? Является ли vssbridge64.exe вредоносным ПО?

Что такое vssbridge64.exe или Kaspersky Volume Shadow Мост службы копирования

Мост службы теневого копирования томов Kaspersky (vssbridge64.exe), как следует из названия, представляет собой службу, которая действует как мост между 32-разрядным файлом avp.exe процесса и 64-разрядной службы теневого копирования томов вашей ОС, облегчая взаимодействие между ними.

Некоторым из вас, возможно, было немного сложно понять технический жаргон, приведенный выше, но он может помочь узнать, что такое служба теневого копирования тома Windows, чтобы помочь вам лучше понять.

Что такое служба теневого копирования тома?

Наблюдается в Windows как VSSVC.exe , служба теневого копирования томов поможет вам сделать зеркальное копирование жесткого диска и сохранить его для использования в случае взлома вашей памяти. Сервис берет образ как минимум вашего системного диска. Это помогает нам с легкостью восстановить нашу систему, поскольку существует резервная копия большинства конфигураций приложений, которую можно напрямую загрузить в систему, что сэкономит много времени и усилий. Вы можете узнать больше о том, что такое VSS и для чего он служит в Windows, здесь.

Исполняемый файл avp, с другой стороны, является частью Антивируса Касперского, т. Е. Поставляется с программное обеспечение. Этот файл предлагает услуги защиты от вирусов, троянов и т. Д. Вместе с дополнительным персональным брандмауэром.

Давайте посмотрим на возможные пути, по которым вы можете найти файл vssbridge64.exe на вашем ПК с Windows.

Пути Kaspersky Volume Shadow Copy Service Bridge в Windows

c: \ program files (x86) \ kaspersky lab \ kaspersky internet security 16.0.0 \ x64 \ c: \ program files (x86) \ kaspersky lab \ kaspersky anti-virus 17.0.0 \ x64 \ c: \ program files (x86) \ kaspersky lab \ kaspersky internet security 18.0.0 \ x64 \ c: \ program files (x86) \ kaspersky lab \ kaspersky internet security 20.0 \ x64 \

Пользователи должны учитывать, что указанные выше пути являются общими, но это не исчерпывающий список, поскольку путь установки программного обеспечения всегда можно изменить.

Есть простой способ проверить, является ли vssbridge64.exe безопасным исполняемым файлом или нет. Просто найдите файл.exe и откройте его свойства. В диалоговом окне Свойства выберите вкладку Цифровые подписи и проверьте, подписана ли она АО «Лаборатория Касперского». Если это не так, что бывает редко, возможно, ваш файл содержит вредоносное ПО. Если вы чувствуете себя небезопасно, вы также можете удалить его.

Мы надеемся, что этот пост в достаточной мере рассеивает все ваши сомнения относительно того, что такое Kaspersky Volume Shadow Copy Service.

В Windows 10/8/7 , если вы проверяете диспетчер задач Windows через разные промежутки времени, вы можете заметить, что он иногда содержит запущенный процесс VSSVC.exe . Когда вы наводите указатель мыши на процесс, появляется надпись Служба теневого копирования томов Windows. Он не всегда работает, но запускается определенными событиями, чтобы сделать копию всего жесткого диска в виде одного или нескольких наборов. в зависимости от количества дисков у вас есть. В этом посте мы обсудим (что такое) служба Microsoft Volume Shadow Copy в Windows и постараемся охватить как можно больше деталей.


Резервное копирование жесткого диска и образ жесткого диска

Большинство из нас регулярно создает резервные копии файлов данных с помощью сторонних программ или команд MS-DOS, таких как XCOPY. Когда мы выполняем резервное копирование, нашим главным намерением является создание и сохранение самых последних возможных копий наших важных файлов данных. Таким образом, резервное копирование жесткого диска в основном связано с файлами данных.

Короче говоря, вы создаете резервную копию своих файлов данных и создаете образ вашего системного диска (программные файлы/настройки). Когда вы восстанавливаете с использованием резервных копий данных, вы возвращаете последние резервные копии файлов данных. Когда вы используете образы для восстановления вашего компьютера, вы копируете обратно файлы программы, состояние ОС и свойства, включая реестр Windows и другие базы данных/файлы, относящиеся к операционной системе.

Таким образом, существует разница между резервным копированием данных и созданием образа диска. Я надеюсь, что смог уточнить здесь разницу.

Volume Shadow Copy в Windows 10

Когда вы щелкаете правой кнопкой мыши по папке в Windows, вы получаете опцию «Предыдущие версии». Возможно, вы также использовали эту опцию, чтобы восстановить настройки папки, а иногда и содержимое в предыдущее состояние. Точно так же вы знаете, что вы можете использовать функцию восстановления системы, чтобы восстановить прежнее состояние компьютера. Конечно, некоторые программы и изменения, которые вы сделали недавно, будут потеряны, но по сравнению с суматохой, связанной с необходимостью работы всего этого вручную с помощью ручных средств, восстановление довольно просто.

Служба VSS также используется сторонними программами для создания образа диска в любое время. Сам VSS запускается при определенных триггерах для создания образа системного диска и других дисков/дисков, связанных с данным компьютером. Если все типы дисков относятся к одному и тому же типу, т. Е. NTFS, требуется один снимок. Если диски различного типа и, возможно, также от разных производителей или моделей, VSS делает серию снимков для каждого типа дисков. Будь то отдельный снимок или набор снимков, они хранятся в хорошо защищенной области системного диска и им присваивается уникальный идентификатор (отметка даты и времени), с помощью которого они могут использоваться для восстановления всего системного диска или папки. в этом к предыдущему состоянию.

Помните, что для работы VSS системный диск должен иметь тип NTFS. Это не сработает, если вы все еще используете FAT32. В любом случае, после Windows XP системные диски всегда были NTFS, что позволяло VSS функционировать без проблем.

По данным Microsoft, VSS определяется следующим образом:

Читать . Используйте командную строку Vssadmin для управления VSS.

Как работает VSS

Существует три важных функции, вызываемых VSS для создания снимка:

  1. Заморозка: на мгновение жесткий диск помечен только для чтения, чтобы на нем не было ничего нового;
  2. Оснастка: отображение накопителя с параметрами, необходимыми для восстановления этой привязки при необходимости в будущем;
  3. Разморозить: освободить жесткий диск, чтобы на него могли быть записаны свежие данные. Поскольку вы продолжаете работать во время работы VSS, может быть другой процесс, который удерживает ваш ввод в некотором разделе памяти, пока процесс Snap не закончится.

Служба теневого копирования томов в Windows предоставляет две функции:

Это означает, что большинство сторонних программ, которые мы используем для создания образа жестких дисков, используют службу VSS. Это также означает, что если служба VSS остановлена, некоторые сторонние программы не будут работать, т.е. они не смогут создавать образ диска.

Вы также можете использовать ShadowExplorer для доступа и восстановления теневых копий.

СОВЕТ . Этот пост поможет вам, если вы столкнулись с проблемой высокой загрузки VSSVC.exe.

Начиная с Windows 8, Microsoft представила функцию под названием «История файлов». История файлов сохраняет копии ваших библиотек, рабочего стола, избранного и контактов, чтобы вы могли вернуть их в любое время, если они будут потеряны или повреждены. В то время как восстановление системы позволяет полностью восстановить компьютер до более раннего состояния, история файлов позволяет восстанавливать файлы и данные с более раннего момента времени.

Служба "Теневое копирование тома" (Volume Shadow Copy Service, VSS) сохраняет точки восстановления и поддерживает резервирование и восстановление файлов на основании механизма получения моментальных снимков файлов и данных (snapshot), именуемые теневыми копиями. VSS создаёт статические копии открытых файлов и приложений, которые при других обстоятельствах являются слишком непостоянными для резервирования.

Звучит убедительно, но VSS отнимает большое количество дискового пространства. Для начала воспользуйтесь командой "vssadmin", чтобы посмотреть, сколько места занимают текущие теневые копии тома с помощью команды "vssadmin list shadowstorage". (Для более подробной информации нажмите кнопку "Start", в строке поиска введите cmd, а затем для получения помощи введите vssadmin /?).

На приведённом ниже скриншоте активированы точки восстановления для дисков C: и D; на этих же дисках есть также теневые копии. Посмотрим, сколько дискового пространства тратится на теневые копии этих дисков: 22,079 Гбайт на диске D: (общий объём: 149 Гбайт; объём, занимаемый теневыми копиями = 15,5%) и 64,448 Гбайт на диске C: (общий объём: 465 Гбайт; объём, занимаемый теневыми копиями = 14,9%).

vssadmin-list-shadowstorage.jpg

В какой-то момент мы обнаружили всего 230 Гбайт свободного пространства на 465-Гбайт диске C:, хотя мы точно знали, что на нём содержится всего 120 Гбайт файлов. Поиски пропавших 115 Гбайт привели нас к службе Volume Shadow Copy Service. Мы снова воспользовались командой "vssadmin list shadows" (мы не стали приводить здесь результат её выполнения, поскольку он очень длинный: там перечислены все теневые копии на диске) и выяснили, что одна из теневых копий занимает 85 Гбайт! Поскольку мы недавно копировали большую коллекцию музыкальных файлов со старого 200-Гбайт USB-накопителя на наш новый более быстрый диск SATA, служба VSS, очевидно, создала теневую копию тех файлов одновременно с их копированием в папку, доступную пользователям.

Как избавиться от этой ненужной теневой копии? По умолчанию Vista выделяет теневым копиям 15% дискового пространства, однако операционная система строго не ограничивает общий объём теневых копий. Если теневой копии требуется больше места, то Vista с радостью его предоставит. С помощью утилиты командной строки vssadmin можно установить чёткий лимит дискового пространства для теневых копий. Вот как это можно сделать:

vssadmin resize shadowstorage /For=T: /On=T: /MaxSize=Num

Вместо буквы "T" подставьте название своего диска и замените "Num" на число равное 15% ёмкости этого диска. В случае с нашим диском C: эта команда будет выглядеть так:

vssadmin resize shadowstorage /For=C: /On=C: /Maxsize=69GB

Прежде чем воспользоваться этим трюком, сделайте резервную копию своей системы и создайте точку восстановления сразу же после перезагрузки системы. После выполнения приведённой выше команды, Vista автоматически сначала удаляет самые старые точки восстановления до тех пор, пока не достигнет заданного вами предела.

Читайте также: