5.3 Параметры Консольного Сканера

Консольный Cканер является отдельным модулем антивирусной проверки, который можно использовать для проверки файлов и других объектов ОС по запросу независимо от Пульта управления, Dr.Web SpIDer Guard и Демона-Сканера.

Полный список параметров командной строки для Консольного Сканера можно получить, запустив программу drweb с параметрами -?, -h или -help.

Основные параметры консольного сканера Dr.Web Console Scanner можно сгруппировать следующим образом:

Параметры области проверки;
Параметры диагностики;
Параметры действий;
Параметры интерфейса.

Параметры области проверки

Эти параметры указывают, где следует проводить проверку на вирусы:

Параметр

Описание

{путь}

Задает пути для сканирования.

В одном параметре может быть задано несколько путей. Символ '=' можно опустить, в этом случае путь для сканирования отделяется от ключа пробелом. Можно несколько раз указать ключ path с разными путями, в этом случае они будт объединены в один список. Кроме того, пути можно задавать, не используя ключ path.

Если в параметрах запуска путь задан с префиксом:

disk://<путь к файлу устройства>,

то будет проверен загрузочный сектор (MBR) соответствующего устройства и при необходимости произведено его лечение.

Файл устройства – это специальный файл, расположенный в каталоге файлов устройств /dev и имеющий имя вида sdX или hdX, где X – латинская буква (a, b, c, ...). Например: hda, sda.

Таким образом, чтобы проверить, например, загрузочную запись диска sda, следует указать путь:

disk:///dev/sda

-@[+] {файл}

Задает проверку объектов, перечисленных в указанном файле. Символ «+» (плюс) предписывает не удалять файл со списком объектов по окончании проверки. Этот файл может содержать пути к периодически проверяемым каталогам или просто список файлов, подлежащих регулярной проверке.

--

Указывает, что список объектов для сканирования следует считать из стандартного потока ввода stdin.

-sd

Задает рекурсивный поиск и проверку файлов во вложенных папках.

-fl

Указывает следовать символическим ссылкам как для файлов, так и для папок. Cсылки, приводящие к «зацикливанию», игнорируются.

-mask

Игнорировать маски имен файлов.

Параметры диагностики

Эти параметры определяют, какие типы объектов и каким образом должны проверяться на вирусы:

Параметр

Описание

-al

Указывает, что по заданным путям необходимо проверять все файлы вне зависимости от их расширения и внутреннего формата.

Этот параметр противоположен по действию параметру -ex.

-ex

Указывает, что по заданным путям необходимо проверять только файлы заданного типа (разрешения). Разрешения указываются в конфигурационном файле (задается параметром -ini) в переменной FileTypes.

По умолчанию осуществляется проверка файлов со следующими расширениями:

EXE, COM, DLL, SYS, VXD, OV?, BAT, BIN, DRV, PRG, BOO, SCR, CMD, 386, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VB*, JS*, INF, PP?, OBJ, LIB, PIF, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SH, SHB, SHS, SHT*, CHM, REG, XML, PRC, ASP, LSP, MSO, OBD, THE*, NWS, SWF, MPP, OCX, VS*, DVB, CPY, BMP, RPM, ISO, DEB, AR?, ZIP, R??, GZ, Z, TGZ, TAR, TAZ, CAB, LHA, LZH, BZ2, MSG, EML, 7Z, CPIO.

Этот параметр противоположен по действию параметру -al.

-ar[d|m|r][n]

Задает проверку файлов в архивах (ARJ, CAB, GZIP, RAR, TAR, ZIP и др.). Под архивами в данном случае понимаются не только собственно архивы (например, вида *.tar), но и их сжатые формы (например, сжатые TAR–архивы вида *.tar.bz2 и *.tbz).

Если параметр указан без дополнительных модификаторов d, m или r, то в случае обнаружения архива с вредоносными или подозрительными файлами, производится только информирование пользователя. Если параметр дополняется модификатором d, m или r, то применяются соответствующие действия для устранения обнаруженной угрозы.

-cn[d|m|r][n]

Задает проверку файлов в контейнерах (HTML, RTF, PowerPoint).

Если параметр указан без дополнительных модификаторов d, m или r, то в случае обнаружения контейнера с вредоносными или подозрительными объектами, производится только информирование пользователя. Если параметр дополняется модификатором d, m или r, то применяются соответствующие действия для устранения обнаруженной угрозы.

-ml[d|m|r][n]

Задает проверку файлов почтовых программ.

Если параметр указан без дополнительных модификаторов d, m или r, то в случае обнаружения файла с вредоносными или подозрительными элементами, производится только информирование пользователя. Если параметр дополняется модификатором d, m или r, то применяются соответствующие действия для устранения обнаруженной угрозы.

-upn

Проверка исполняемых файлов, упакованных LZEXE, DIET, PKLITE, EXEPACK без вывода имен утилит упаковки.

-ha

Задает использование эвристического анализа для поиска неизвестных угроз.

Для некоторых параметров доступны также следующие дополнительные модификаторы:

d – использовать удаление объекта для устранения угрозы;
m – использовать перемещение объекта в Карантин для устранения угрозы;
r – использовать переименование объекта для устранения угрозы (первый символ расширения заменяется на символ «#»);
n – не указывать в отчете типы архиваторов, контейнеров, почтовых файлов или упаковщиков.

Подробнее действия описаны в приложении Устранение компьютерных угроз.

При обнаружении вредоносных элементов в составных объектах (архивах, контейнерах, упакованных или почтовых файлах), указанное действие применяется ко всему составному объекту целиком, а не только к вредоносному элементу.

Параметры действия

Эти параметры определяют, какие действия должны быть выполнены в отношении зараженных (или подозрительных) объектов:

Параметр

Описание

-cu[d|m|r]

Задает действие для инфицированных файлов и загрузочных секторов дисков. Если параметр указан без дополнительных модификаторов, то производится лечение излечимых объектов и удаление неизлечимых файлов (если другое не задано параметром -ic). Дополнительные модификаторы позволяют задать иное действие взамен лечения, но оно применяется только для инфицированных файлов. Действие для неизлечимых файлов в таком случае должно быть задано параметром -ic.

-ic[d|m|r]

Задает действие для неизлечимых файлов. Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.

-sp[d|m|r]

Задает действие для подозрительных файлов. Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.

-adw[d|m|r|i]

Задает действие для файлов, содержащих рекламные программы. Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.

-dls[d|m|r|i]

Задает действие для файлов, содержащих программы дозвона. Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.

-jok[d|m|r|i]

Задает действие для файлов, содержащих программы-шутки. Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.

-rsk[d|m|r|i]

Задает действие для файлов, содержащих потенциально опасные программы.  Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.

-hck[d|m|r|i]

Задает действие для файлов, содержащих программы, используемые для взлома. Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.

Дополнительные модификаторы задают действие, необходимое для устранения угрозы:

d – удаление файла;
m – перемещение файла в Карантин;
r – переименование файла (первый символ расширения заменяется на символ «#»);
i – игнорирование (доступно только для незначительных угроз, например, рекламных программ); при использовании этого модификатора объект пропускается без каких-либо действий и оповещение сообщение об угрозе не выводится.

Подробнее действия описаны в приложении Устранение компьютерных угроз.

При обнаружении вредоносных элементов в составных объектах (архивах, контейнерах, упакованных или почтовых файлах), указанное действие применяется ко всему составному объекту целиком, а не только к вредоносному элементу.

Параметры интерфейса

Эти параметры определяют условия вывода результатов работы Консольного Сканера:

Параметр

Описание

-v,

-version,

--version

Задает вывод информации о версии продукта и версии антивирусного ядра и завершение работы Консольного Сканера.

-ki

Задает вывод информации о лицензии и ее владельце (только в кодировке UTF8).

-go

Задает пакетный режим работы Консольного Сканера. Все вопросы, подразумевающие ожидание ответа от пользователя, пропускаются; решения, требующие выбора, принимаются автоматически. Этот режим полезно использовать для автоматической проверки файлов, например, при ежедневной или еженедельной проверке жесткого диска.

-ot

Переключает вывод информации на стандартный вывод (stdout).

-oq

Отключает вывод информации на экран.

-ok

Задает вывод полного списка сканируемых объектов, сопровождая безопасные объекты пометкой Ok.

-log =[+] {путь к файлу}

Включает протоколирование работы Консольного Сканера в указанном файле. При отсутствии имени файла отчет записываться на будет. Символ «+» (плюс) предписывает не перезаписывать файл отчета, а добавлять новую информацию.

-ini = {путь к файлу}

Задает использование указанного конфигурационного файла. По умолчанию конфигурационный файл не входит в состав Консольного Сканера.

-lng = {путь к файлу}

Задает использование указанного альтернативного языкового файла. По умолчанию используется английский язык.

-a = {адрес Агента}

Запустить Консольный Сканер в режиме центральной защиты.

-ni

Отключает использование конфигурационного файла для настройки Консольного Сканера. Настройка сканирования в данном случае будет осуществляться только с использованием параметров из командной строки.

-ns

Запрещает возможность прерывания проверки, в том числе при получении сигнала остановки процесса (SIGINT).

--only-key

При запуске от Агента будет получен только ключевой файл.

Некоторые из параметров отменяют соответствующее им действие, если оканчиваются символом «-» (дефис). К ним относятся следующие параметры:

-ar -cu -ha -ic -fl -ml -ok -sd -sp

Например, при запуске Консольного Сканера командой вида:

$ drweb <путь> -ha-

проверка будет производиться без эвристического анализа файлов, который обычно по умолчанию включен.

Для параметров -cu, -ic и -sp «отрицательная» форма отменяет выполнение любых действий, указанных в их описании. Это означает, что информация о зараженных и подозрительных объектах будет фиксироваться в отчете, но никаких действий под устранению представляемых ими угроз предприниматься не будет.

Для параметров -al и -ex «отрицательная» форма не предусмотрена, однако задание одного из них отменяет действие другого.

Если не производились действия по перенастройке программы, то по умолчанию (то есть без отдельного указания параметров) Консольный Сканер запускается с параметрами:

-ar -ha -fl- -ml -sd

Этот набор параметров по умолчанию (включающий проверку архивов и упакованных файлов, файлов почтовых программ, рекурсивный поиск, эвристический анализ и т.д.) достаточно целесообразен для целей диагностики и может использоваться в большинстве типичных случаев. Если какой-либо из параметров по умолчанию не нужен в конкретной ситуации, его можно отключить, указав после него символ «-» (дефис), как это было показано выше на примере параметра -ha (эвристический анализ).

Следует добавить, что отключение проверки архивированных и упакованных файлов резко снижает уровень антивирусной защиты, т.к. именно в виде архивов (часто самораспаковывающихся) распространяются файловые вирусы в виде почтовых вложений. Документы прикладных программ, потенциально подверженные заражению макровирусами (Word, Excel и др.), также обычно пересылаются по электронной почте в архивированном и упакованном виде.

При запуске Консольного Сканера с параметрами по умолчанию не осуществляется лечение зараженных файлов. Не предусмотрены также действия в отношении неизлечимых файлов и подозрительных файлов. Все эти действия требуют указания дополнительных параметров командной строки - параметров действия.

Наборы параметров действия могут различаться в каждом конкретном случае, однако обычно представляются целесообразными следующие:

cu - лечение зараженных файлов и системных областей, без удаления, перемещения или переименования зараженных файлов;
icd - удаление неизлечимых файлов;
spr - переименование подозрительных файлов.
spm - перемещение подозрительных файлов;

Запуск Консольного Сканера с параметром лечения cu означает, что программа предпримет попытку восстановить состояние зараженного объекта. Это возможно только тогда, когда обнаружен известный вирус, причем необходимые инструкции по излечению имеются в вирусных базах, однако и в этих случаях попытка излечения может не быть успешной, например, если зараженный файл уже серьезно поврежден.

Если при проверке архивов в их составе были обнаружены зараженные файлы, лечение последних, как и удаление, перемещение или переименование, не производится. Для уничтожения вирусов в таких объектах архивы должны быть вручную распакованы соответствующими программными средствами, желательно, в отдельный каталог, который и будет указан как аргумент при повторном запуске Консольного Сканера.

При запуске с параметром удаления icd программа уничтожит зараженный файл на диске. Этот параметр целесообразен для неизлечимых (необратимо поврежденных вирусом) файлов.

Параметр переименования spr вызывает замену расширения имени файла на некое установленное (по умолчанию «*.#??», т.е. первый символ расширения заменяется символом «#»). Этот параметр целесообразно применять для файлов других ОС (например, DOS/Windows), выявленных при эвристическом анализе как подозрительные. Переименование сделает невозможным случайный запуск исполняемых модулей в этих системах, загрузку документов Word или Excel без дальнейшей проверки и таким образом предотвратит заражение возможным вирусом и дальнейшее его распространение.

Параметр перемещения spm переместит зараженный (или подозрительный) файл в предназначенный для этого каталог карантина.