Общий формат запуска программы следующий:
$ %bin_dir/drweb <путь> [параметры командной строки]
где <путь> – путь или пути к проверяемым каталогам или маска проверяемых файлов. Если путь задан с префиксом: disk://<путь к файлу устройства> (файлы устройств размещаются в каталоге /dev), то будет проверен загрузочный сектор соответствующего устройства и при необходимости произведено его лечение. Путь может быть предварен необязательным ключом path.
Запущенный без параметров, только с указанием пути в качестве аргумента, консольный cканер Dr.Web Scanner осуществляет проверку указанного каталога, используя набор параметров по умолчанию (см. ниже). В следующем примере проверяется домашний каталог пользователя:
$ %bin_dir/drweb ~
По окончании проверки, в случае обнаружения зараженных или подозрительных файлов, Dr.Web Scanner выводит информацию обо всех таких файлах в следующем виде:
/path/file инфицирован [вирусом] ИМЯ_ВИРУСА
После вывода информации о зараженных и подозрительных файлах, если таковые были обнаружены, Dr.Web Scanner выдает отчет примерно следующего вида:
Отчет для "/opt/drweb/tmp":
Проверено : 34/32 Исцелено : 0
Инфицировано : 5/5 Удалено : 0
Модификаций : 0/0 Переименовано: 0
Подозрительных: 0/0 Перемещено : 0
Время проверки: 00:00:02 Скорость : 5233 KB/s
Числа, разделенные символом "/", означают: первое – общее количество файлов, второе – количество файлов в архивах.
Для того, чтобы пользователь имел возможность проверить работоспособность антивируса, в состав дистрибутива продукта входит специальный тестовый файл readme.eicar.rus. С помощью текстового редактора из него легко изготовить программу eicar.com (см. указания внутри самого файла), которая ведет себя подобно вирусу, вызывая сообщение вида:
%bin_dir/doc/eicar.com инфицирован Eicar Test File (Not a Virus!)
Этот файл не является вирусом и используется исключительно для тестирования. С этой целью все современные антивирусные программы включают информацию о нем в свои вирусные базы.
Dr.Web Scanner может быть настроен с помощью многочисленных параметров командной строки. В соответствии с соглашениями UNIX-систем, праметры должны быть отделены от указанного путя для проверки пробелои и начинаться с дефиса ("-"). Полный список параметров командной строки для консольного сканера Dr.Web Scanner можно получить, запустив программу drweb с параметрами -?, -h или --help.
Основные параметры консольного сканера Dr.Web Scanner можно сгруппировать следующим образом:
•Параметры области проверки; •Параметры диагностики; •Параметры действий; •Параметры интерфейса. Параметры области проверки
Эти параметры указывают, где следует проводить проверку на вирусы:
Параметр
|
Описание
|
-path [=] {путь}
|
Задает пути для сканирования.
В одном параметре может быть задано несколько путей. Символ '=' можно опустить, в этом случае путь для сканирования отделяется от ключа пробелом. Можно несколько раз указать ключ path с разными путями, в этом случае они будт объединены в один список. Кроме того, пути можно задавать, не используя ключ path.
Если в параметрах запуска путь задан с префиксом:
disk://<путь к файлу устройства>,
то будет проверен загрузочный сектор (MBR) соответствующего устройства и при необходимости произведено его лечение.
Файл устройства – это специальный файл, расположенный в каталоге файлов устройств /dev и имеющий имя вида sdX или hdX, где X – латинская буква (a, b, c, ...). Например: hda, sda.
Таким образом, чтобы проверить, например, загрузочную запись диска sda, следует указать путь:
disk:///dev/sda
|
-@[+] {файл}
|
Задает проверку объектов, перечисленных в указанном файле. Символ «+» (плюс) предписывает не удалять файл со списком объектов по окончании проверки. Этот файл может содержать пути к периодически проверяемым каталогам или просто список файлов, подлежащих регулярной проверке.
|
--
|
Указывает, что список объектов для сканирования следует считать из стандартного потока ввода stdin.
|
-sd
|
Задает рекурсивный поиск и проверку файлов во вложенных каталогах.
|
-fl
|
Указывает следовать символическим ссылкам как для файлов, так и для каталогов. Cсылки, приводящие к «зацикливанию», игнорируются.
|
-mask
|
Игнорировать маски имен файлов.
|
Параметры диагностики
Эти параметры определяют, какие типы объектов и каким образом должны проверяться на вирусы:
Параметр
|
Описание
|
-al
|
Указывает, что по заданным путям необходимо проверять все файлы вне зависимости от их расширения и внутреннего формата.
Этот параметр противоположен по действию параметру -ex.
|
-ex
|
Указывает, что по заданным путям необходимо проверять только файлы заданного типа (разрешения). Разрешения указываются в конфигурационном файле (задается параметром -ini) в переменной FileTypes.
По умолчанию осуществляется проверка файлов со следующими расширениями:
EXE, COM, DLL, SYS, VXD, OV?, BAT, BIN, DRV, PRG, BOO, SCR, CMD, 386, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VB*, JS*, INF, PP?, OBJ, LIB, PIF, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SH, SHB, SHS, SHT*, CHM, REG, XML, PRC, ASP, LSP, MSO, OBD, THE*, NWS, SWF, MPP, OCX, VS*, DVB, CPY, BMP, RPM, ISO, DEB, AR?, ZIP, R??, GZ, Z, TGZ, TAR, TAZ, CAB, LHA, LZH, BZ2, MSG, EML, 7Z, CPIO.
Этот параметр противоположен по действию параметру -al.
|
-ar[d|m|r][n]
|
Задает проверку файлов в архивах (ARJ, CAB, GZIP, RAR, TAR, ZIP и др.). Под архивами в данном случае понимаются не только собственно архивы (например, вида *.tar), но и их сжатые формы (например, сжатые TAR–архивы вида *.tar.bz2 и *.tbz).
Если параметр указан без дополнительных модификаторов d, m или r, то в случае обнаружения архива с вредоносными или подозрительными файлами, производится только информирование пользователя.
Если параметр дополняется модификатором d, m или r, то применяются соответствующие действия для устранения обнаруженной угрозы.
|
-cn[d|m|r][n]
|
Задает проверку файлов в контейнерах (HTML, RTF, PowerPoint).
Если параметр указан без дополнительных модификаторов d, m или r, то в случае обнаружения контейнера с вредоносными или подозрительными объектами, производится только информирование пользователя.
Если параметр дополняется модификатором d, m или r, то применяются соответствующие действия для устранения обнаруженной угрозы.
|
-ml[d|m|r][n]
|
Задает проверку файлов почтовых программ.
Если параметр указан без дополнительных модификаторов d, m или r, то в случае обнаружения файла с вредоносными или подозрительными элементами, производится только информирование пользователя.
Если параметр дополняется модификатором d, m или r, то применяются соответствующие действия для устранения обнаруженной угрозы.
|
-upn
|
Проверка исполняемых файлов, упакованных LZEXE, DIET, PKLITE, EXEPACK без вывода имен утилит упаковки (в противном случае имя утилиты-упаковщика будет выводиться на экран).
|
-ha
|
Задает использование эвристического анализа для поиска неизвестных угроз.
|
Для некоторых параметров доступны также следующие дополнительные модификаторы:
•d – использовать удаление объекта для устранения угрозы; •m – использовать перемещение объекта в Карантин для устранения угрозы; •r – использовать переименование объекта для устранения угрозы (первый символ расширения заменяется на символ «#»); •n – не указывать в отчете типы архиваторов, контейнеров, почтовых файлов или упаковщиков. При обнаружении вредоносных элементов в составных объектах (архивах, контейнерах, упакованных или почтовых файлах), указанное действие применяется ко всему составному объекту целиком, а не только к вредоносному элементу.
|
Параметры действия
Эти параметры определяют, какие действия должны быть выполнены в отношении зараженных (или подозрительных) объектов:
Параметр
|
Описание
|
-cu[d|m|r]
|
Задает действие для инфицированных файлов и загрузочных секторов дисков.
Если параметр указан без дополнительных модификаторов, то производится лечение излечимых объектов и удаление неизлечимых файлов (если другое не задано параметром -ic). Дополнительные модификаторы позволяют задать иное действие взамен лечения, но оно применяется только для инфицированных файлов. Действие для неизлечимых файлов в таком случае должно быть задано параметром -ic.
|
-ic[d|m|r]
|
Задает действие для неизлечимых файлов.
Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.
|
-sp[d|m|r]
|
Задает действие для подозрительных файлов.
Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.
|
-adw[d|m|r|i]
|
Задает действие для файлов, содержащих рекламные программы.
Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.
|
-dls[d|m|r|i]
|
Задает действие для файлов, содержащих программы дозвона.
Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.
|
-jok[d|m|r|i]
|
Задает действие для файлов, содержащих программы-шутки.
Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.
|
-rsk[d|m|r|i]
|
Задает действие для файлов, содержащих потенциально опасные программы.
Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.
|
-hck[d|m|r|i]
|
Задает действие для файлов, содержащих программы, используемые для взлома.
Если параметр указан без дополнительных модификаторов, то производится только информировании об угрозе.
|
Дополнительные модификаторы задают действие, необходимое для устранения угрозы:
•d – удаление файла; •m – перемещение файла в Карантин; •r – переименование файла (первый символ расширения заменяется на символ «#»); •i – игнорирование (доступно только для незначительных угроз, например, рекламных программ); при использовании этого модификатора объект пропускается без каких-либо действий и оповещение сообщение об угрозе не выводится. При обнаружении вредоносных элементов в составных объектах (архивах, контейнерах, упакованных или почтовых файлах), указанное действие применяется ко всему составному объекту целиком, а не только к вредоносному элементу.
|
Параметры интерфейса
Эти параметры определяют условия вывода результатов работы консольного сканера Dr.Web Scanner:
Параметр
|
Описание
|
-v, -version,
--version
|
Задает вывод информации о версии продукта и версии антивирусного ядра и завершение работы консольного сканера Dr.Web Scanner.
|
-ki
|
Задает вывод информации о лицензии и ее владельце (только в кодировке UTF8).
|
-go
|
Задает пакетный режим работы консольного сканера Dr.Web Scanner. Все вопросы, подразумевающие ожидание ответа от пользователя, пропускаются; решения, требующие выбора, принимаются автоматически. Этот режим полезно использовать для автоматической проверки файлов, например, при ежедневной или еженедельной проверке жесткого диска.
|
-ot
|
Переключает вывод информации на стандартный вывод (stdout).
|
-oq
|
Отключает вывод информации на экран.
|
-ok
|
Задает вывод полного списка сканируемых объектов, сопровождая безопасные объекты пометкой Ok.
|
-log =[+] {путь к файлу}
|
Включает протоколирование работы консольного сканера Dr.Web Scanner в указанном файле. При отсутствии имени файла отчет записываться на будет. Символ «+» (плюс) предписывает не перезаписывать файл отчета, а добавлять новую информацию.
|
-ini = {путь к файлу}
|
Задает использование указанного конфигурационного файла.
По умолчанию консольный сканер Dr.Web Scanner использует конфигурационный файл drweb32.ini (этот файл совместно используется компонентами Dr.Web Daemon, Dr.Web Scanner и Dr.Web Updaer). Компонент использует параметры, расположенные в секции [Scanner]. Перечень параметров, задаваемых в секции и их назначение аналогичны параметрам, указанным в секции [Daemon].
|
-lng = {путь к файлу}
|
Задает использование указанного альтернативного языкового файла. По умолчанию используется английский язык.
|
-a = {адрес Агента}
|
Запустить консольный сканер Dr.Web Scanner в режиме централизованной защиты под управлением выбранного Dr.Web Agent.
|
-ni
|
Отключает использование конфигурационного файла для настройки консольного сканера Dr.Web Scanner. Настройка сканирования в данном случае будет осуществляться только с использованием параметров из командной строки.
|
-ns
|
Запрещает возможность прерывания проверки, в том числе при получении сигнала остановки процесса (SIGINT).
|
--only-key
|
При запуске от Dr.Web Agent будет получен только ключевой файл.
|
Некоторые из параметров отменяют соответствующее им действие, если оканчиваются символом минуса (без пробела). К ним относятся следующие параметры:
-ar -cu -ha -ic -fl -ml -ok -sd -sp
Например, при запуске консольного сканера Dr.Web Scanner командой вида:
$ drweb <путь> -ha-
проверка будет производиться без использования Эвристического анализа, который обычно по умолчанию включен.
Для параметров -cu, -ic и -sp «отрицательная» форма отменяет выполнение любых действий, указанных в их описании. Это означает, что информация о зараженных и подозрительных объектах будет фиксироваться в отчете, но никаких действий под устранению представляемых ими угроз предприниматься не будет.
Для параметров -al и -ex «отрицательная» форма не предусмотрена, однако задание одного из них отменяет действие другого.
Если не производились действия по перенастройке программы, то по умолчанию (то есть без отдельного указания параметров) Dr.Web Scanner запускается с параметрами:
-ar -ha -fl- -ml -sd -al -ok
Этот набор параметров по умолчанию (включающий проверку архивов и упакованных файлов, файлов почтовых программ, рекурсивный поиск, эвристический анализ и т.д.) достаточно целесообразен для целей диагностики и может использоваться в большинстве типичных случаев. Если какой-либо из параметров по умолчанию не нужен в конкретной ситуации, его можно отключить, указав после него минус, как это было показано выше на примере параметра -ha (использование Эвристического анализа).
Следует добавить, что отключение проверки архивированных и упакованных файлов резко снижает уровень антивирусной защиты, т.к. именно в виде архивов (часто самораспаковывающихся) распространяются файловые вирусы в виде почтовых вложений. Документы прикладных программ, потенциально подверженные заражению макровирусами (Word, Excel и др.), также обычно пересылаются по электронной почте в архивированном и упакованном виде.
При запуске Dr.Web Scanner с параметрами по умолчанию не осуществляется лечение зараженных файлов. Не предусмотрены также действия в отношении неизлечимых файлов и подозрительных файлов. Все эти действия требуют указания дополнительных параметров командной строки – параметров действия.
|