?

Log in

No account? Create an account

leh_a


Машинки, самолетики и котики.


Acronis жрет память.
leh_a
Untitled-2 copy

Продолжение истории про нашествие вируса шифровальщика. При установке Acronis Backup пользователь сейчас получает кроме удобной бекапилки файлов, баз и писем дополнительную "феньку" Acronis Active Protection. Acronis Active Protection постоянно мониторит изменения файлов на компьютере и изучает закономерности. Поведения некоторых приложений может быть стандартным и ожидаемым. Поведение других приложений может сигнализировать об агрессивных действиях в отношении данных. Технология Acronis наблюдает за этими действиями и сравнивает их с вредоносными моделями поведения. Такой подход может быть эффективным для выявления атак с использованием программ-вымогателей, даже если они в данный момент еще не известны. Штука может отключаться. Из "коробки" не включена. Нужно идти "устройства"-"все устройства"-"активная защита" и "применить".

Однако на сервере после этого чего стало резко не хватать памяти под пользовательские задачи. Физически установлено 8Гб, под систему и задачи отъедалось до 3Гб в спокойном состоянии. А тут по наблюдениям стало всегда занято 7+Гб. Чуть какая дополнительная пользовательская нагрузка, так сразу всё ужас-ужас становится. При чем если в диспетчере задач просуммировать все строчки, то набирается как раз 2-2.5Гб. Где остальное - вопрос!

Полез разбираться. Запустил RamMap из комплекта утилит Русиновича. Утилитка показала, что вся потерянная память в nonpaged pool (по русски "не выгружаемый пул" в диспетчере задач WIndows 10). Гугль предположил что это драйвер чего то "напортачил" и направил в сторону Poolmoon из комплекта Windows Driver Kit (WDK) для дальнейших раскопок.

давим p  - отображаются только потребители nonpool area
давим b - процессы отсортируются по размеру потребляемой памяти
видим в топе по потребляемой памяти что то вида #A02

дальше в командной строке пишем findstr /m /l /s #A02 C:\Windows\System32\drivers\*.sys и видим, что память "выел" file_protector.sys. А это и есть как раз компонент Acronis Active Protection. В интрефейсе Acronis Backup отключаем этот компонент и видим, что свободной памяти в системе становится больше на 3 с лишком гигабайта.

Думаем что дальше дальше: памяти доставлять или жить дальше без компонента защиты от шифровальщиков.

В ходе "боданий" с Acronis Backup 12.5 выяснилась еще одна интресная подробность. Оно не умеет выгружать данные по SFTP на сервера не под Linux. Пробовал поставить CoreFTP под Windows. Клиент (ну типа WinSCP хотя бы) к этому серверу обратиться может, и Acronis Backup хранилище видит, но план бекапа, нацеленный на это хранилище падает с ошибкой. Техподдержка Acronis сказала не умничать и использовать линух-сервер для хранилища. Пришлось поднимать в хозяйстве еще и виртуалку с CentOS minimal с ролью хранилки бекапов.