Le Scanner en ligne de commande Dr.Web est un module d'analyse antivirus séparé pouvant être utilisé pour réaliser un scan antivirus des fichiers ou d'autres objets dans l'OS à la demande de l'utilisateur et indépendamment des composants Panneau de commande, Dr.Web SpIDer Guard et Daemon-Scanner.
Pour consulter la liste complète de paramètres de ligne de commande pour le Scanner en ligne de commande Dr.Web, lancez le programme drweb accompagné des paramètres -?, -h ou -help.
Les paramètres principaux du Scanner en ligne de commande peuvent être catégorisés de façon suivante :
Paramètres de la zone d'analyse
Ces paramètres spécifient la zone à analyser :
Paramètre
|
Description
|
{chemin} ou [disk://]{chemin vers le périphérique}
|
Spécifie les chemins à scanner.
Plusieurs chemins peuvent être spécifiés par un seul paramètre. Le symbole '=' peut être omis, dans ce cas, le chemin pour le scan est séparé de la clé par un blanc. Vous pouvez spécifier la clé path avec des chemins différents plusieurs fois, les chemins seront réunis dans une liste commune. A part cela, il est possible de spécifier les chemins sans utiliser la clé path.
Si dans les paramètres de démarrage, le chemin est accompagné du préfixe :
disk://<chemin vers le périphérique>,
le secteur d'amorçage (MBR) du dispositif correspondant sera analysé et désinfecté si nécessaire.
Le fichier du dispositif est un fichier spécialisé se trouvant dans le répertoire de fichiers des dispositifs /dev et ayant le nom de type sdX ou hdX, avec X – un caractère latin (a, b, c, ...). Par exemple, hda, sda.
Ainsi, pour scanner par exemple, le MBR du dispositif sda, spécifiez le chemin :
disk:///dev/sda
|
-@[+] {fichier}
|
Configure l'analyse des objets dans le fichier indiqué. Le symbole « + » (plus) gère la non suppression du fichier avec la liste des objets après que le scan est achevé.
Dans ce fichier vous pouvez stocker des chemins vers les dossiers ou la liste des fichiers pour les analyser périodiquement. Chaque objet doit être spécifié par une ligne séparée.
|
-sd
|
Spécifie la recherche recursive et l'analyse des fichiers dans les sous-dossiers.
|
-fl
|
Indique de suivre des liens symboliques pour des fichiers et aussi pour des dossiers. Des liens de bouclage sont ignorés.
|
-mask
|
Indique d'ignorer les masques des noms de fichiers.
|
Paramètres de diagnostic
Ces paramètres spécifient les types des objets à analyser et le mode d'analyse antivirus :
Paramètre
|
Description
|
-al
|
Indique qu'il est nécessaire d'analyser tous les fichiers définis par des chemins spécifiés, quels que soient leurs extensions et leurs formats internes. Le chemin à analyser est spécifié par le paramètre -path.
Ce paramètre est le contraire du paramètre -ex par son action.
|
-ex
|
Indique que parmi les fichiers définis par des chemins spécifiés il faut analyser uniquement ceux de certains types (avec des certains extensions). Des extensions sont spécifiées dans un fichier de configuration (qui est défini par le paramètre -ini) par la variable FileTypes. Par défaut, les fichiers avec les extensions suivantes sont analysées : EXE, COM, DLL, SYS, VXD, OV?, BAT, BIN, DRV, PRG, BOO, SCR, CMD, 386, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VB*, JS*, INF, PP?, OBJ, LIB, PIF, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SH, SHB, SHS, SHT*, CHM, REG, XML, PRC, ASP, LSP, MSO, OBD, THE*, NWS, SWF, MPP, OCX, VS*, DVB, CPY, BMP, RPM, ISO, DEB, AR?, ZIP, R??, GZ, Z, TGZ, TAR, TAZ, CAB, LHA, LZH, BZ2, MSG, EML, 7Z, CPIO.
Le chemin d'analyse est spécifié par le paramètre -path.
Ce paramètre est le contraire du paramètre -al par son action.
|
-ar[d|m|r][n]
|
Spécifie l'analyse des fichier en archives (ARJ, CAB, GZIP, RAR, TAR, ZIP etc.). Le terme « archives » signifie ici non seulement des archives eux-mêmes (par exemple, *.tar), mais aussi ses formes compressées (par exemple, des archives TAR compressés *.tar.bz2 et *.tbz).
Si les modificateurs optionnels d, m ou r ne sont pas ajoutés, en cas de détection des fichiers malicieux ou suspects dans une archive seulement l'action de notification de l'utilisateur est effectuée. Si le paramètre est complété par des modificateur d, m ou r, des actions correspondantes de neutralisation des menaces sont effectuées.
|
-cn[d|m|r][n]
|
Configure l'analyse des fichiers conteneurs (HTML, RTF, PowerPoint).
Si les modificateurs optionnels d, m ou r ne sont pas ajoutés, en cas de détection des fichiers malicieux ou suspects dans un conteneur seulement l'action de notification de l'utilisateur est effectuée. Si le paramètre est complété par des modificateur d, m ou r, des actions correspondantes de neutralisation des menaces sont effectuées.
|
-ml[d|m|r][n]
|
Configure l'analyse des fichiers de messagerie.
Si les modificateurs optionnels d, m ou r ne sont pas ajoutés, en cas de détection d'un fichier malicieux ou suspect seulement l'action de notification de l'utilisateur est effectuée. Si le paramètre est complété par des modificateur d, m ou r, des actions correspondantes de neutralisation des menaces sont effectuées.
|
-up[n]
|
Analyse des fichiers exécutables compressés par LZEXE, DIET, PKLITE, EXEPACK; n – désactive l'afficage des noms des outils de compression
|
-ha
|
Configure l'utilisation de l'analyse heuristique pour détecter des menaces inconnues.
|
Pour certains paramètres les modificateurs suivants optionnels sont disponibles :
• | d – supprimer l'objet pour le neutraliser ; |
• | m – déplacer l'objet en Quarantaine pour neutraliser la menace ; |
• | r – renommer l'objet pour neutraliser la menace (le premier caractère de l'extension se remplace par « # »); |
• | n – ne pas indiquer dans le rapport les types des outils d'archivage, des conteneurs, des fichiers de messagerie et des outils de compression. |
Pour en savoir plus sur les actions de neutralisation, consultez la rubrique Neutralisation des menaces.
Lorsque des éléments malicieux sont détectés dans des objets composés (des archives, des conteneurs, des fichiers compressés ou de messagerie), l'action indiquée s'applique à l'objet composé entier, pas seulement à l'élément malicieux.
|
Paramètres des actions
Ces paramètres spécifient les actions à appliquer aux objets infectés (ou suspects) :
Paramètre
|
Description
|
-cu[d|m|r]
|
Spécifie l'action à appliquer aux fichiers infectés et aux secteurs de boot des disques. Si ce paramètre est utilisé sans modificateurs additionnels, les objets curables sont désinfectés et les fichiers incurables sont supprimés (si d'autres actions ne sont pas spécifiés par le paramètre -ic). Des modificateurs additionnels permettent de spécifier une autre action au lieu de désinfection, mais elle ne sera appliquée qu'aux fichiers infectés. L'action pour les fichiers incurables doit être alors spécifiée par le paramètre -ic.
|
-ic[d|m|r]
|
Spécifie l'action pour les fichiers incurables. Si ce paramètre est utilisé sans modificateurs additionnels, la seule action effectuée est la notification de l'utilisateur.
|
-sp[d|m|r]
|
Spécifie l'action pour les fichiers suspects. Si ce paramètre est utilisé sans modificateurs additionnels, la seule action effectuée est la notification de l'utilisateur.
|
-adw[d|m|r|i]
|
Spécifie l'action pour les adwares. Si ce paramètre est utilisé sans modificateurs additionnels, la seule action effectuée est la notification de l'utilisateur.
|
-dls[d|m|r|i]
|
Spécifie l'action pour des fichiers contenant des dialers. Si ce paramètre est utilisé sans modificateurs additionnels, la seule action effectuée est la notification de l'utilisateur.
|
-jok[d|m|r|i]
|
Spécifie l'action pour des fichiers contenant des canulars. Si ce paramètre est utilisé sans modificateurs additionnels, la seule action effectuée est la notification de l'utilisateur.
|
-rsk[d|m|r|i]
|
Spécifie l'action pour des fichiers contenant des logiciels potentiellement dangereux. Si ce paramètre est utilisé sans modificateurs additionnels, la seule action effectuée est la notification de l'utilisateur.
|
-hck[d|m|r|i]
|
Spécifie l'action pour des fichiers contenant des hacktools. Si ce paramètre est utilisé sans modificateurs additionnels, la seule action effectuée est la notification de l'utilisateur.
|
Les modificateurs optionnels permettent de spécifier une action nécessaire pour neutraliser la menace :
• | d – supprimer le fichier ; |
• | m – déplacer le fichier en Quarantaine ; |
• | r – renommer le fichier (le premier caractère de l'extension se remplace par « # »); |
• | i – ignorer le fichier (disponible uniquement pour les menaces insignifiantes, par exemple, pour des pop-up publicitaires) ; si ce modificateur est utilisé, aucune action n'est appliquée à l'objet et la notification n'est pas affichée pour cette menace. |
Pour en savoir plus sur les actions, consultez le rubrique Neutralisation des menaces.
Lorsque des éléments malicieux sont détectés dans des objets composés (des archives, des conteneurs, des fichiers compressés ou de messagerie), l'action indiquée s'applique à l'objet composé entier, pas seulement à l'élément malicieux.
|
Paramètres de l'interface
Ces paramètres déterminent l'affichage des résutats du Scanner en ligne de commande :
Paramètre
|
Description
|
-v,
-version,
--version
|
Spécifie l'affichage des informations sur la version du produit et celle du moteur antivirus ainsi que sur la terminaison du Scanner en ligne de commande.
|
-ki
|
Spécifie l'affichage des informations sur la licence et son détenteur (en codage UTF8 uniquement).
|
-go
|
Spécifie le mode de fonctionnement par lots pour le Scanner en ligne de commande. Toutes les requêtes nécessitant une réponse de l'utilisateur sont ignorées ; les décisions permettant le choix sont prises automatiquement. Ce mode est recommandé pour l'analyse de fichiers quotidienne, par exemple, lors de l'analyse journalière ou hebdomadaire du disque dur.
|
-ot
|
Bascule vers la sortie stantard des informations (stdout).
|
-oq
|
Désactive la sortie des informations sur l'écran.
|
-ok
|
Spécifie la sortie de la liste complète des objets scannés dont les objets sains sont accopmagnés d'une note Ok.
|
-ini = {chemin vers le fichier}
|
Spécifie l'utilisation du fichier de configuration déterminé. Par défaut, le fichier de configuration n'est pas inclu dans le Scanner en ligne de commande.
|
-lng = {chemin vers le fichier}
|
Spécifie l'utilisation d'un fichier langue alternatif. Par défaut, l'anglais est utilisé.
|
-log =[+] {chemin vers le fichier}
|
Active la journalisation du fonctionnement du Scanner en ligne de commande dans un fichier spécifié. Si aucun nom de fichier n'est spécifié, alors le log ne sera pas écrit. Le symbole «+» (plus) commande de ne pas écraser le fichier de log mais de le compléter.
|
-a = {adresse de l'Agent }
|
Lancer le Scanner en ligne de commande en mode de protection centralisée.
|
-ni
|
Désactive l'utilisation du fichier de configuration pour paramétrer le Scanner en ligne de commande. La configuration du scan, dans ce cas, est effectuée uniquement avec les paramètres de ligne de commande.
|
-ns
|
Interdit la possibilité d'interrompre l'analyse y compris le cas où le signal d'arrêt du processus (SIGINT) est reçu.
|
--only-key
|
Au démarrage, seul le fichier clé sera reçu depuis l'Agent.
|
Certains paramètres annulent l'action correspondante s'ils se terminent avec le symbole «-» (trait d'union). Ce sont les paramètres suivants :
-ar -cu -ha -ic -fl -ml -ok -sd -sp
Par exemple, si le Scanner en ligne de commande démarre par la commande suivante :
$ drweb -path <chemin> -ha-
l'analyse sera réalisée sans analyseur heuristique qui est désactivé par défaut.
Si les paramètres n'ont pas été modifiés, par défaut, le Scanner en ligne de commande démarre avec les paramètres suivants :
-ar -ha -fl- -ml -sd
Ce jeu de paramètre spécifié par défaut (y compris l'analyse des archives, des fichiers compressés, des fichiers email, la recherche recursive, l'analyse heuristique etc.) est optimal pour le diagnostic et peut être utilisé dans la plupart des cas. Si un de ces paramètres n'est pas requis par défaut dans une situation particulière, vous pouvez le désactiver en mettant après ce paramètre le symbole «-» (trait d'union) comme dans l'exemple ci-dessus : -ha (analyse heuristique).
Il est à noter que la désactivation de l'analyse des fichiers archivés ou compressés diminue considérablement le niveau de la protection antivirus puisque c'est sous forme des archives (souvent autoextractibles) dans les pièces-jointes que les virus de fichiers se propagent. En plus, les documents de telles applications comme Word, Excel potentiellement susceptibles d'être contaminées par des virus macro sont normalement envoyés par email sous forme d'archive ou de conteneur.
Si le Scanner en ligne de commande démarre avec les paramètres spécifiés par défaut, les fichiers contaminés détectés ne seront pas désinfectés. Aucune action sur les fichiers incurables ou suspects ne sera spécifiée. Toutes ces actions nécessitent des paramètres supplémentaires en ligne de commande dits les paramètres des actions.
Les jeux de paramètres peuvent varier mais les configurations suivantes sont recommandées :
• | cu - désinfection des fichiers infectés et des zones système sans suppression,déplacement ni renommage des fichiers infectés ; |
• | icd - suppression des fichiers incurables ; |
• | spm - délacement des fichiers suspects ; |
• | spr - renommage des fichiers suspects. |
Le démarrage du Scanner en ligne de commande avec le paramètre de désinfection cu désigne que le programme va tenter de restaurer l'état d'origine de l'objet contaminé. C'est possible uniquement dans le cas où le virus détecté est connu et que les instructions de désinfection appropriées sont présentes dans les bases viruales. Cependant, même dans ce cas-là, la tentative de désinfecter peut échouer, par exemple si le fichier infecté est déjà considérablement endommagé.
Si des fichiers contaminés ont été détectés lors de l'analyse au sein des archives, tels fichiers ne seront pas désinfectés, ni supprimés, ni déplacés ou renommés. Pour supprimer les virus dans de tels objets, les archives concernées doivent être déballées manuellement avec des outils appropriés vers un dossier séparé qui sera spécifié comme un argument lors du redémarrage du Scanner en ligne de commande.
En cas de démarrage avec le paramètre de suppression icd, le programme va supprimer le fichier infecté depuis le disque. Ce paramètre est à appliquer aux fichiers incurables (endommagés irréversiblement).
Le paramètre de renommage spr commande de remplacer l'extension du nom de fichier par une extension spécifiée (par défaut, «*.#??», ainsi le premier symbole de l'extension est remplacé par le symbole «#»). Il est recommandé d'appliquer ce paramètre aux fichiers relatifs à d'autres systèmes d'exploitation (par exemple, DOS/Windows) classés lors de l'analyse heuristique comme suspects. Le renommage rend impossible le lancement accidentel des modules exécutables sous tels systèmes et le téléchargement des documents Word ou Excel sans analyse ultérieure, ceci permet de prévenir la contamination par un éventuel virus ainsi que d'empêcher sa propagation.
Le paramètre de déplacement spm commande de déplacer le fichier infecté ou suspect vers un dossier de quarantaine spécifié.
|