Exemples d’utilisation

Cette section contient des exemples d’utilisation de l’utilitaire (drweb-ctl) :

Analyse d’objets :

Commandes simples de l’analyse.

Analyse des fichiers sélectionnés selon des critères.

Analyse des objets supplémentaires.

Gestion de la configuration.

Gestion de menaces.

Exemple de fonctionnement en mode de copie autonome.

1. Analyse d’objets

1.1. Commandes simples de l’analyse

1.Lancer l’analyse du répertoire /home avec les paramètres par défaut :

$ drweb-ctl scan /home

2.Chemins du scan listés dans le fichier daily_scan (un chemin par ligne) :

$ drweb-ctl scan --stdin < daily_scan

3.Lancer l’analyse du secteur d’amorçage du dispositif de disque sda :

$ drweb-ctl bootscan /dev/sda

4.Lancer l’analyse des processus en cours :

$ drweb-ctl procscan

1.2. Analyse des fichiers sélectionnés selon des critères

Dans les exemples cités ci-dessous, le résultat de fonctionnement de l’utilitaire find est utilisé pour la création d’une sélection de fichiers à analyser. La liste de fichiers créée est transmise à la commande drweb-ctl scan avec le paramètre --stdin ou --stdin0.

1.Lancer l’analyse de la liste des fichiers retournés par l’utilitaire find et séparés par le symbole UL ('\0') :

$ find -print0 | drweb-ctl scan --stdin0

2.Scanner tous les fichiers dans tous les répertoires, en commençant par le répertoire racine, dans la même partition du système de fichiers :

$ find / -xdev -type f | drweb-ctl scan --stdin

3.Scanner tous les fichiers dans tous les répertoires, en commençant par le répertoire racine, excepté les fichiers /var/log/messages et /var/log/syslog :

$ find / -type f ! -path /var/log/messages ! -path /var/log/syslog | drweb-ctl scan --stdin

4.Scanner tous les fichiers de l’utilisateur root dans tous les répertoires en commençant par le répertoire racine :

$ find / -type f -user root | drweb-ctl scan --stdin

5.Scanner les fichiers de l’utilisateur root et admin dans tous les répertoires, en commençant par le répertoire racine :

$ find / -type f \( -user root -o -user admin \) | drweb-ctl scan --stdin

6.Scanner les fichiers des utilisateurs avec un UID dans la fourchette 1000–1005 dans tous les répertoires, en commençant par le répertoire racine :

$ find / -type f -uid +999 -uid -1006 | drweb-ctl scan --stdin

7.Scanner les fichiers dans tous les répertoires en commençant par le répertoire racine avec un niveau d’emboîtement inférieur ou égal à 5 :

$ find / -maxdepth 5 -type f | drweb-ctl scan --stdin

8.Scanner les fichiers dans un répertoire racine en ignorant les fichiers dans les sous-répertoires :

$ find / -maxdepth 1 -type f | drweb-ctl scan --stdin

9.Scanner les fichiers dans tous les répertoires en commençant par le répertoire racine en suivant tous les liens symboliques :

$ find -L / -type f | drweb-ctl scan --stdin

10. Scanner les fichiers dans tous les répertoires en commençant par le répertoire racine sans suivre les liens symboliques :

$ find -P / -type f | drweb-ctl scan --stdin

11. Analyser les fichiers créés au plus tard le 1 mai 2017 dans tous les répertoires en commençant par le répertoire racine :

$ find / -type f -newermt 2017-05-01 | drweb-ctl scan --stdin

1.3. Analyse des objets supplémentaires

1.Analyse des objets se trouvant dans le répertoire /tmp sur l’hôte distant 192.168.0.1 lors de la connexion via SSH en tant que l’utilisateur user avec le mot de passe passw :

$ drweb-ctl remotescan 192.168.0.1 /tmp --Login user --Password passw

2.Analyse du message e-mail enregistré dans le fichier email.eml avec l’utilisation de l’ensemble de règles par défaut :

$ drweb-ctl checkmail email.eml

2. Gestion de la configuration

1.Afficher sur l’écran toutes les informations sur le contenu actuel du Dr.Web pour Linux, y compris les informations sur les composants lancés :

$ drweb-ctl appinfo

2.Afficher sur l’ecran tous les paramètres de la section [Root] de la configuration active :

$ drweb-ctl cfshow Root

3.Indiquer 'No' comme valeur du paramètre Start dans la section [LinuxSpider] de la configuration active (cela va arrêter le  SpIDer Guard) :

# drweb-ctl cfset LinuxSpider.Start No

Notez que les privilèges de super-utilisateur sont requis pour cela. Exemple de la même commende exécutée avec sudo pour élever les privilèges :

$ sudo drweb-ctl cfset LinuxSpider.Start No

4.Forcer la mise à jour des composants antivirus du Dr.Web pour Linux :

$ drweb-ctl update

5.Redémarrez la configuration pour les composants du Dr.Web pour Linux :

# drweb-ctl reload

Notez que les privilèges de super-utilisateur sont requis pour cela. Exemple de la même commende exécutée avec sudo pour élever les privilèges :

$ sudo drweb-ctl reload

6.Connecter Dr.Web pour Linux au serveur de protection centralisée fonctionnant sur l’hôte 192.168.0.1, à condition que le certificat du serveur se trouve dans le fichier /home/user/cscert.pem :

$ drweb-ctl esconnect 192.168.0.1 --Certificate /home/user/cscert.pem

7.Déconnecter Dr.Web pour Linux du serveur de protection centralisée :

# drweb-ctl esdisconnect

Notez que les privilèges de super-utilisateur sont requis pour cela. Exemple de la même commande exécutée avec sudo pour élever les privilèges :

$ sudo drweb-ctl esdisconnect

8.Consulter les derniers enregistrements faits par les composants drweb-update et drweb-configd dans le journal de Dr.Web pour Linux :

# drweb-ctl log -c Update,ConfigD

3. Gestion de menaces

1.Afficher sur l’écran les informations sur les menaces détectées :

$ drweb-ctl threats

2.Déplacer en quarantaine tous les fichiers contenant des menaces non neutralisées :

$ drweb-ctl threats --Quarantine All

3.Afficher sur l’écran la liste des fichiers mis en quarantaine :

$ drweb-ctl quarantine

4.Restaurer tous les fichiers de la quarantaine :

$ drweb-ctl quarantine --Restore All

4. Exemple de fonctionnement en mode de copie autonome

1.Analyser les fichiers et traiter la quarantaine en mode de copie autonome :

$ drweb-ctl scan /home/user -a --OnKnownVirus=Quarantine
$ drweb-ctl quarantine -a --Delete All

La première commande analysera les fichiers dans le répertoire /home/user en mode de copie autonome et les fichiers contenant les virus connus seront mis en quarantaine. La deuxième commande traitera tout le contenu de la quarantaine (également en mode de copie autonome) et supprimera les objets qu’elle contient.