Изменения в системе после установки Kaspersky Endpoint Agent

При установке Kaspersky Endpoint Agent служба установщика Windows выполняет на защищаемом устройстве следующие изменения:

• создает папки Kaspersky Endpoint Agent;
• регистрирует в системном реестре ключи Kaspersky Endpoint Agent;
• регистрирует службы и драйверы Kaspersky Endpoint Agent.

Папки Kaspersky Endpoint Agent на защищаемом устройстве

При установке Kaspersky Endpoint Agent на устройстве создаются следующие папки:

• Заданная по умолчанию папка установки Kaspersky Endpoint Agent, содержащая исполняемые файлы Kaspersky Endpoint Agent:
  • В 32-х разрядной версии Microsoft Windows: %ProgramFiles%\Kaspersky Lab\Endpoint Agent\
  • В 64-х разрядной версии Microsoft Windows: %ProgramFiles (x86)%\Kaspersky Lab\Endpoint Agent\
• Папка, содержащая драйверы Kaspersky Endpoint Agent(x86):
  • В 32-х разрядной версии Microsoft Windows: %ProgramFiles%\Kaspersky Lab\Endpoint Agent\drivers\<версия_ОС>\<имя драйвера>
  • В 64-х разрядной версии Microsoft Windows: %ProgramFiles (x86)%\Kaspersky Lab\Endpoint Agent\drivers\x64\<версия ОС>\<имя драйвера>
• Папки, содержащие файлы IOC:
  • В 32-х разрядной версии Microsoft Windows:
    • %ProgramFiles%\Kaspersky Lab\Endpoint Agent\openioc
    • %ProgramFiles%\Kaspersky Lab\Endpoint Agent\openioc\1.0
    • %ProgramFiles%\Kaspersky Lab\Endpoint Agent\openioc\1.1
  • В 64-х разрядной версии Microsoft Windows:
    • %ProgramFiles (x86)%\Kaspersky Lab\Endpoint Agent\openioc
    • %ProgramFiles (x86)%\Kaspersky Lab\Endpoint Agent\openioc\1.0
    • %ProgramFiles (x86)%\Kaspersky Lab\Endpoint Agent\openioc\1.1
• Папки, содержащие служебные файлы Kaspersky Endpoint Agent:
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Data
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Data\Cache
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Data\Cache\Images
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Data\Cache\Queue
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Data\Cache\Queue\Kata
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Data\Cache\Queue\Kmp
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Data\Cache\Queue\Syslog
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Data\Hunts
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Data\killchain
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Settings
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Tasks
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\DSKM
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Temp
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Temp\Tasks
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Bases
• Папка, содержащая служебные файлы для работы с Kaspersky Security Network.
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Ksn
• Папка, содержащая файлы, помещенные на карантин:
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Quarantine
• Папка, содержащая файлы, восстановленные из карантина:
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Restored
• Папка, содержащая файлы конфигурации политики Kaspersky Security Center:
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Policy
• Папки, содержащие служебные файлы для работы с Kaspersky Sandbox:
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Sandbox
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Sandbox\Queue
• Папка, содержащая файлы обновляемых компонентов:
  • %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0\Update
• Папка, содержащая файлы ярлыков для меню Пуск:
  • %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Kaspersky Endpoint Agent

Службы и драйверы Kaspersky Endpoint Agent

Следующие службы Kaspersky Endpoint Agent регистрируются и запускаются под системной учетной записью (SYSTEM):

• SOYUZ.exe – это основная служба Kaspersky Endpoint Agent, которая управляет задачами и рабочими процессами программы, обеспечивает взаимодействие между Kaspersky Endpoint Agent и компонентом Central Node.
• ANGARA.dll (исполняется в proton.exe) – это служба, которая обеспечивает взаимодействие между Kaspersky Endpoint Agent и EPP в сценариях интеграции с Kaspersky Sandbox.

Следующие драйверы Kaspersky Endpoint Agent регистрируются на устройстве:

• klsnsr.sys – это драйвер для работы с трассировкой событий Windows (ETW).
• klncap.sys – это анализатор сетевых пакетов ETW.

  При установке на устройство с ОС Microsoft Windows XP вместо klncap.sys регистрируется драйвер klncapxp.sys.

Ключи системного реестра

В результате установки Kaspersky Endpoint Agent создаются следующие ключи системного реестра:

Ключи системного реестра указаны в представлении для 32-разрядных приложений.

• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\SOYUZ\4.0.0.0\ProdDisplayName]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\SOYUZ\4.0.0.0\ProdVersion]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\SOYUZ\4.0.0.0\ConnectorVersion]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\SOYUZ\4.0.0.0\ConnectorFlags]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\SOYUZ\4.0.0.0\NagentMinVer]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\SOYUZ\4.0.0.0\ConnectorPath]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\SOYUZ\4.0.0.0\Installer\UninstallString3]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\SOYUZ\4.0.0.0\Installer\UninstallString3KPD]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\SOYUZ\4.0.0.0\Installer\ProductCode]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\NoPPL]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\BFESDDL]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\CrashDump\Enable]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\CrashDump\Folder]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\CrashDump\Enable(Example)]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\CrashDump\Folder(Example)]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Environment\EnableKillChain]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Environment\SvmUpdateMode]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Environment\MsiPath]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Environment\AgentPath]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Environment\EventsExpirationTimeout]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Install\InstallID]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Install\InstallTime]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Install\InstallLCID]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Install\InstallLocalization]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Install\InstallPlatformType]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Install\Version]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Trace\Configuration]
• [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SOYUZ\4.0\Trace\Configuration(Example)]
• [HKEY_CURRENT_USER\Software\KasperskyLab\SOYUZ\StartMenu]
• [HKEY_CURRENT_USER\Software\KasperskyLab\SOYUZ\UninstallShortcut2]
• [HKEY_CURRENT_USER\Software\KasperskyLab\SOYUZ\RelNotes]
• [HKEY_CURRENT_USER\Software\KasperskyLab\SOYUZ\License]
• [HKEY_CURRENT_USER\Software\KasperskyLab\SOYUZ\Ksn]
• [HKEY_CURRENT_USER\Software\KasperskyLab\SOYUZ\Kmp]
• [HKEY_CURRENT_USER\Software\KasperskyLab\SOYUZ\ProductUrl]
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\angara]
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klelaml]
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klncap]
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klncapxp]
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klsnsr]
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vostok]
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\soyuz]