7 ответов в этой теме

[vladimir_murm]

Собственно

 

в логах Code Integrity, при запуске Пк:

 

Code Integrity determined that a process (\Device\HarddiskVolume5\Windows\System32\SecurityHealthService.exe) attempted to load \Device\HarddiskVolume5\Program Files\DrWeb\drwamsi64.dll that did not meet the Windows signing level requirements.

 

Это наверное на стороне Microsoft, проблемы, но на всякий случай хочу уточнить, можно ли как-то каким-то безопасным тестовым  скриптом, проверить работу AMSI модуля у продукта?.

 

 

Система Ос, Windows 24H2 -26100.4770, официалка, лицензия.

 

Настройки безопасности:

 

VBS: HCVI+ KERNEL MODE HARDWARE STACK PROTECTION

 

Uefi обновлён+ SecureBoot и fPTM в прошивке включены.

 

Остальных аномалий,и по журналам доктора - вроде нет, всё запускается, eicar/cloud и тестовые сэмплы: "мелочёвку" ловит, базы "апдейтяться".
 

sfc /scannow и DISM /Online /Cleanup-Image /ScanHealth - "без повреждений"

winmgmt /verifyrepository - "База данных WMI согласована"

Dr Web 12 SS - Релизная текущая версия.

Сообщение было изменено vladimir_murm: 23 Июль 2025 - 10:25

[Alexander007]

Обратиться в поддержку Dr.Web:

Сообщите о проблеме и предоставьте логи Code Integrity.

Уточните, совместим настоящий AMSI-модуль с Windows 24H2 и HVCI.

Обновить Dr.Web :

Убедитесь, что установлена последняя версия продукта, включая все исправления.

Проверьте совместимость с Microsoft:

Если проблема возникнет, обратитесь в службу поддержки Microsoft для уточнения требований к мобильным библиотекам.

Заключение

Проблема может быть вызвана несоответствием библиотеки библиотеки drwamsi64.dll требованиям Windows или конфликтом с HVCI. Предложенные методы проверки помогают определить точную причину. Если проблема не разрешилась после тестов, рекомендуется обратиться в поддержку Dr.Web и Microsoft для дальнейшего анализа.

 

Ну, и лучше логи предоставить им необходимое сисинфо , в тех поддержке скажут что делать .

[maxic]

Alexander007, бесполезный комментарий, от таких лучше воздерживаться. Через "немогу" 

[vladimir_murm]

бесполезный комментарий, от таких лучше воздерживаться. Через "немогу"

 

Почему?, что не так?, вопрос был по продукту, надо ли с этим что-то делать или нет. 

Сообщение было изменено vladimir_murm: 24 Июль 2025 - 02:02

[maxic]

vladimir_murm, тут только разработчики скажут, в чем дело. Релизный модуль от марта 2024 года, то есть вышел более года назад. С тех пор в недрах ОС могло появиться (и появилось) что-то новенькое. Да и warning явно говорит о требованиях к подписыванию драйверов, которые, полагаю, к каждому релизу ОС могут изменяться.

[vladimir_murm]

тут только разработчики скажут, в чем дело. Релизный модуль от марта 2024 года, то есть вышел более года назад. С тех пор в недрах ОС могло появиться (и появилось) что-то новенькое. Да и warning явно говорит о требованиях к подписыванию драйверов, которые, полагаю, к каждому релизу ОС могут изменяться.

 

я для общей информации выложил, саппорт нет смысла дёргать, если кто захочет из разработчиков прояснить вопрос -напишет, нужно ли на это обращать внимание или нет, а то как будто я не их продукт обсуждаю.

  А по поводу модулей, это скорее всего Майкрософт косяк, у конкурента, в этом журнале, точно так же на .dll ругается.  

 

Обратиться в поддержку Dr.Web

 

Благодарю за желание помочь!, думаю это не сильно критично. Буду ждать апдейтов. Это может быть и на стороне ОС, что скорее всего.

Сообщение было изменено vladimir_murm: 24 Июль 2025 - 04:15

[B.Chugunov]

В журнале Code Integrity такая ругань будет на любую либу, не подписанную MS, которая пытается вгрузиться в системные процессы, вроде svchost-а. Дело не в качестве подписи, а в том, что она не от MS.
Отсюда аналогичная реакция на AMSI либы других вендоров в том же журнале. На работу AMSI в обычном режиме работы ОС это никак влиять не должно. 

[vladimir_murm]

В журнале Code Integrity такая ругань будет на любую либу, не подписанную MS, которая пытается вгрузиться в системные процессы, вроде svchost-а. Дело не в качестве подписи, а в том, что она не от MS.
Отсюда аналогичная реакция на AMSI либы других вендоров в том же журнале. На работу AMSI в обычном режиме работы ОС это никак влиять не должно.

 

Благодарю за пояснение!, жаль я раньше не увидел ваше сообщение, уже отчёт с Пк отправил в саппорт, ну может ещё что найдут там, или данные будут полезны для статистики/проверки какого нибудь другого компонента АВ на windows 11, в тех условиях что я написал выше.

я думал с vbs+hardware stack protection конфликтует, и уже "навёл суету" на пустом месте  

 

Спасибо!