Доктор Веб, Центральный офис в России



Pdf просмотр
страница7/10
Дата04.11.2016
Размер2.8 Kb.
Просмотров2351
Скачиваний0
1   2   3   4   5   6   7   8   9   10
UseEnterpriseMode = No
RecoveryTimeList =
{время в секундах}
Временные промежутки между попытками перезапуска "зависших"
приложений. Для параметра можно задать несколько значений, перечислив их через запятую. Первая попытка перезагрузки приложения производится через время,
указанное первым значением параметра, вторая – через время, указанное вторым и т.д.

Руководство администратора
110
Dr.Web Monitor
Значение по умолчанию:
RecoveryTimeList = 0,30,60
InjectCmd =
{строка}
Команда для отсылки отчетов.
Обратите внимание, что для отправки сообщений на адрес, отличный от root@localhost
, надо в команде указать действительный адрес.
Значение по умолчанию:
InjectCmd = "/usr/sbin/
sendmail -t"
AgentAddress =
{lookups}
Сокет,
через который
Монит ор
взаимодействует с
Агент ом
(значение параметра должно совпадать со значением параметра
Address
конфигурационного файла
Агент а
).
Значение по умолчанию:
AgentAddress = local:%var_dir/
ipc/.agent
AgentResponseTime =
{время в секундах}
Максимальное время отклика модуля drweb-agent
. Если в течение этого времени от модуля не поступает ответа,
то
Монит ор
перезапускает его. Если указано значение 0, время отклика не ограничивается.
Значение по умолчанию:
AgentResponseTime = 5

Руководство администратора
111
Dr.Web Monitor
Запуск
Обратите внимание, что в процессе работы установочного скрипта при выборе соответствующей возможности в диалоге все сервисы,
включая
Монит ор
,
будут запущены автоматически.
В процессе запуска
Монитора
(при установках по умолчанию)
осуществляются следующие действия:
производится поиск и загрузка конфигурационного файла;
если файл не найден, то загрузка прекращается;
Монитор
переходит в
реж им демона,
поэтому сообщения о дальнейших проблемах не могут быть выведены на терминал и выводятся только в файл отчета;
создается сокет для взаимодействия с другими модулями программного комплекса
Dr.Web
д ля
файловых
серверов UNIX
. В случае использования TCP-соединений,
подключений мож ет быть несколько
(загрузка продолж ится, если удалось создать хотя бы одно из них).
Если используется UNIX сокет, то он мож ет быть создан только когда директория, его содерж ащая, доступна на запись и чтение пользователю, с чьими привилегиями работает модуль drweb-monitor
. Если ни один сокет не мож ет быть создан, загрузка прекращается;
создается PID-файл, в котором хранится информация об идентификаторе процесса
Монитора
. Если создать PID- файл не удалось, то загрузка прекращается;

Руководство администратора
112
Dr.Web Monitor
модуль drweb-monitor запускает остальные модули программного комплекса
Dr.Web
д ля
файловых
серверов UNIX
. Если какой-либо из модулей не загруж ается,
Монитор
пытается запустить его повторно.
Если все попытки
Монитора
загрузить модуль окончились неудачей,
Монитор
выгруж ает все уж е загруж енные модули и завершает свою работу. Обо всех проблемах с запуском модулей программного комплекса
Монитор
сообщает одним из доступных ему способов (записью в файл протокола,
сообщением электронной почты,
запуском произвольной программы). Способы оповещения,
используемые для разных модулей, задаются в файле мета-конфигурации
Монитора
Для успешного запуска Монитора в автоматическом реж име:
либо в файле
%etc_dir/drweb-monitor.enable переменной
ENABLE
долж но быть присвоено значение
1
(для Linux и Solaris);
либо строка drweb_monitor_enable="YES"
долж на быть добавлена в файл
/etc/rc.conf
(для FreeBSD).
Взаимодействие с компонентами
программного комплекса
Взаимодействие с компонентами программного комплекса осуществляется с помощью mmc-файлов. В этих файлах описывается состав компонентов, располож ение бинарных файлов, порядок их запуска и параметры запуска.
Описание каж дого компонента содерж ится в
секции
Application
"имя_компонента"
В
конце секции обязательно долж но быть поставлено
EndApplication
В описании компонента долж ны присутствовать следующие параметры:
FullName
: полное имя прилож ения;

Руководство администратора
113
Dr.Web Monitor
Path
: путь к бинарным файлам;
Depends
:
имена компонентов,
которые долж ны запускаться до запуска описываемого компонента.
Например, компонент
AGENT
долж ен запускаться до компонента
DAEMON
, поэтому в mmc-файле для
Dr.Web
Daemon
параметр
Depends
имеет значение "AGENT"
Если подобные зависимости отсутствуют, то параметр мож ет быть пропущен;
Components
: список бинарных файлов компонентов,
запускаемых при старте прилож ения.
Компоненты запускаются в том порядке, в котором перечислены. Для каж дого из компонентов через пробел указываются:
аргументы командной строки (могут быть заключены в кавычки), максимальное время, отводимое на запуск компонента, максимальное время для остановки, тип оповещения и права для запуска. Тип оповещения - указывает, куда высылать сообщения о сбоях компонента.
Он мож ет принимать значения
MAIL
(осуществляется отсылка оповещений по почте) и
LOG
(информация о сбоях только записывается в лог). Права для запуска - указывают группу и пользователя, с чьими правами будет запускаться компонент.
Пример mmc-файла Dr.Web Daemon д ля Linux:
Application "DAEMON"
FullName "Dr.Web (R) Daemon"
Path "/opt/drweb/"
Depends "AGENT"
Components
# name args MaxStartTime
MaxStopTime NotifyType User:Group drwebd "-a=local:/var/drweb/ipc/.agent
--foreground=yes" 30 10 MAIL drweb:drweb
EndComponents
EndApplication

Руководство администратора
114
Консольный cканер Dr.Web Scanner
Консольный cканер Dr.Web
Scanner
Консольный сканер
Dr.Web Scanner
служ ит для обнаруж ения и лечения вирусов на локальной машине.
Параметры командной строки
Общий формат запуска программы следующий:
$
%bin_dir/drweb
<путь>
[параметры командной строки]
где
<путь>
- путь к проверяемой директории или маска проверяемых файлов. Запущенный без параметров, только с указанием пути в качестве аргумента, консольный cканер
Dr.
Web Scanner
(далее
Сканер
)
осуществляет проверку указанной директории, используя набор параметров по умолчанию. В следующем примере проверяется домашняя директория пользователя:
$ %bin_dir/drweb
По окончании проверки, в случае обнаруж ения зараж енных или подозрительных файлов,
Сканер
выводит информацию обо всех таких файлах в следующем виде:
/path/file инфицирован
[вирусом]
ИМЯ_ВИРУСА
После вывода информации о зараж енных и подозрительных файлах, если таковые были обнаруж ены,
Сканер
выдает отчет примерно следующего вида:
Отчет для "/opt/drweb/tmp":
Проверено : 34/32 Исцелено : 0

Руководство администратора
115
Консольный cканер Dr.Web Scanner
Инфицировано : 5/5 Удалено : 0
Модификаций : 0/0 Переименовано: 0
Подозрительных: 0/0 Перемещено : 0
Время проверки: 00:00:02 Скорость :
5233 KB/s
Числа, разделенные символом "
/
", означают: первое - общее количество файлов, второе - количество файлов в архивах.
Для того, чтобы пользователь имел возмож ность проверить работоспособность антивируса, в состав дистрибутива продукта входит специальный тестовый файл readme.eicar.rus
. С
помощью текстового редактора из него легко изготовить программу eicar.com
(см. указания внутри самого файла),
которая ведет себя подобно вирусу, вызывая сообщение вида:
%bin_dir/doc/eicar.com инфицирован Eicar
Test File (Not a Virus!)
Этот файл не является вирусом и используется исключительно для тестирования.
С
этой целью все современные антивирусные программы включают информацию о нем в свои вирусные базы.
Сканер "Доктор Веб"
мож ет быть настроен с помощью многочисленных параметров командной строки.
Они отделяются от указания пути пробелом и начинаются с символа "
-
" (дефис). Полный список параметров командной строки мож но получить, запустив программу drweb с параметрами
-?
,
-h или
-help
Основные
параметры
программы
могут
быть
сгруппированы след ующим образом:
параметры области проверки;
параметры диагностики;
параметры действий;
параметры интерфейса.

Руководство администратора
116
Консольный cканер Dr.Web Scanner
Параметры области проверки указывают, гд е след ует
провод ить проверку:
path - необязательный параметр для задания пути для сканирования. В одном параметре мож ет быть задано несколько путей;
@[+]<файл> - проверка объектов, перечисленных в указанном файле. Символ "
+
" (плюс) предписывает не удалять файл со списком объектов по окончании проверки. Этот файл мож ет содерж ать пути к
периодически проверяемым директориям или просто список подлеж ащих регулярной проверке файлов;
sd - рекурсивный поиск и проверка файлов в поддиректориях, начиная с текущего;
fl - указание следовать символическим ссылкам, как для файлов, так и для директорий. Ссылки, приводящие к "зацикливанию", игнорируются;
mask - указание игнорировать маски имен файлов.
Параметры д иагностики, опред еляющие, какие типы
объектов д олжны проверяться на вирусы:
al - диагностика всех файлов на заданном устройстве или в указанной в качестве аргумента директории;
ar[d|m|r][n] - проверка файлов в архивах (ARJ, CAB,
GZIP, RAR, TAR, ZIP и др.). d - удаление, m - перемещение,
r
- переименование архивов,
содерж ащих зараж енные объекты,
n - отключение вывода имен архиваторов. Под архивом в данном случае понимаются не только собственно архивы (например,
вида
*.tar
), но и их сж атые формы (в частности,
сж атые tar-архивы вида
*.tar.bz2
и
*.tbz
);
cn[d|m|r][n] - проверка файлов в контейнерах
(HTML, RTF, PowerPoint и др.). d - удаление, m - перемещение, r
- переименование контейнеров,
содерж ащих зараж енные объекты, n - отключение вывода типа контейнера;
ml[d|m|r][n] - проверка файлов почтовых программ.
d
- удаление,
m
- перемещение,
r
-

Руководство администратора
117
Консольный cканер Dr.Web Scanner
переименование файлов почтовых программ, содерж ащих зараж енные объекты, n - отключение вывода типа файлов почтовых программ;
upn - проверка исполняемых файлов, упакованных
LZEXE, DIET, PKLITE, EXEPACK, с отключенным выводом имен утилит упаковки;
ex - диагностика файлов, имена которых соответствуют заданным маскам (см. параметр конфигурационного файла
FilesTypes
);
ha - эвристический анализ файлов, поиск неизвестных вирусов.
Параметры д ействия опред еляют, какие манипуляции
д олжны быть выполнены в отношении зараженных (или
под озрительных) файлов:
cu[d|m|r]
- лечение зараж енных файлов.
Дополнительные параметры: d - удаление, m - перемещение, r - переименование зараж енных файлов;
ic[d|m|r] - действия для неизлечимых файлов: d - удаление, m - перемещение,
r - переименование неизлечимых файлов;
sp[d|m|r] - действия для подозрительных файлов: d
- удаление, m - перемещение, r - переименование подозрительных файлов;
adw[d|m|r|i] - действия для файлов, содерж ащих рекламные программы:
d
- удаление,
m
- перемещение,
r
- переименование,
i
- игнорирование;
dls[d|m|r|i] - действия для файлов, содерж ащих программы дозвона: d - удаление, m - перемещение, r
- переименование, i - игнорирование;
jok[d|m|r|i] - действия для файлов, содерж ащих программы-шутки : d - удаление, m - перемещение, r
- переименование,
i - игнорирование;
rsk[d|m|r|i] - действия для файлов, содерж ащих потенциально опасные программы: d - удаление, m - перемещение,
r
- переименование,
i
-

Руководство администратора
118
Консольный cканер Dr.Web Scanner
игнорирование;
hck[d|m|r|i] - действия для файлов, содерж ащих программы, используемые для взлома: d - удаление, m
- перемещение,
r
- переименование,
i
- игнорирование.
Параметры интерфейса опред еляют условия вывод а
результатов работы программы:
v, version - вывод информации о версии продукта и версии антивирусного ядра;
ki - вывод информации о ключе и его владельце
(только в кодировке UTF8);
foreground[yes|no]
- запуск
Сканера
в приоритетном или в фоновом реж име;
ot - вывод информации на stdout
, т.е стандартный вывод;
oq - отключение вывода информации;
ok - вывод сообщения
Ok для не зараж енных вирусами файлов;
log=<путь к файлу> - запись отчета о работе в указанный файл;
ini=<путь к
файлу>
- использование альтернативного конфигурационного файла;
lng=<путь к
файлу>
- использование альтернативного языкового файла. Если во время установки был выбран английский язык интерфейса, то для вывода сообщений на русском языке в качестве такого файла следует указать ru_scanner.dwl
;
-a=<адрес Агента> - запуск
Сканера
в реж име центральной защиты;
--only-key - при запуске
Сканер
получает от
Агента
только лицензионный ключевой файл.
Некоторые из параметров отменяют соответствующее им действие, если оканчиваются символом "
-
" (дефис). К ним принадлеж ат параметры:
-ar -cu -ha -ic -fl -ml -ok -sd -sp

Руководство администратора
119
Консольный cканер Dr.Web Scanner
Например, при запуске
Сканера
командой вида:
$ drweb <путь> -ha- проверка будет производиться без эвристического анализа файлов, который обычно по умолчанию включен.
Если не производились действия по перенастройке программы,
то по умолчанию (т.е. без отдельного указания параметров),
Сканер
запускается с параметрами:
-ar -ha -fl- -ml -sd
Этот набор параметров по умолчанию (включающий проверку архивов и упакованных файлов, файлов почтовых программ,
рекурсивный поиск, эвристический анализ и т.д.) достаточно целесообразен для целей диагностики и мож ет использоваться в большинстве типичных случаев. Если какой-либо из параметров по умолчанию не нуж ен в конкретной ситуации, его мож но отключить, указав после него символ "
-
" (дефис), как это было показано выше на примере параметра
-ha
(эвристический анализ).
Следует добавить, что отключение проверки архивированных и упакованных файлов резко сниж ает уровень антивирусной защиты,
т.к.
именно в
виде архивов
(часто самораспаковывающихся) распространяются файловые вирусы в виде почтовых влож ений. Документы прикладных программ,
потенциально подверж енные зараж ению макровирусами (Word,
Excel и др.), такж е обычно пересылаются по электронной почте в архивированном и упакованном виде.
При запуске
Сканера
с параметрами по умолчанию не осуществляется лечение зараж енных файлов.
Не предусмотрены такж е действия в отношении неизлечимых файлов и подозрительных файлов. Все эти действия требуют указания дополнительных параметров командной строки - параметров действия.
Наборы параметров действия могут различаться в каж дом конкретном случае,
однако обычно представляются целесообразными следующие:

Руководство администратора
120
Консольный cканер Dr.Web Scanner
cu - лечение зараж енных файлов и системных областей,
без удаления,
перемещения или переименования зараж енных файлов;
icd - удаление неизлечимых файлов;
spm - перемещение подозрительных файлов;
spr - переименование подозрительных файлов.
Запуск
Сканера
с параметром лечения означает, что программа предпримет попытку восстановить состояние зараж енного объекта. Это возмож но только тогда, когда обнаруж ен известный вирус, причем необходимые инструкции по излечению имеются в вирусных базах, однако и в этих случаях попытка излечения мож ет не быть успешной,
например, если зараж енный файл уж е серьезно повреж ден.
Если при проверке архивов в их составе были обнаруж ены зараж енные файлы, лечение последних, как и удаление,
перемещение или переименование, не производится. Для уничтож ения вирусов в таких объектах архивы долж ны быть вручную распакованы соответствующими программными средствами, ж елательно, в отдельную директорию, которая и будет указана как аргумент при повторном запуске
Сканера
При запуске с параметром удаления программа уничтож ит зараж енный файл на диске. Этот параметр целесообразен для неизлечимых (необратимо повреж денных вирусом) файлов.
Параметр переименования вызывает замену расширения имени файла на некое установленное (по умолчанию
*.#??
, т.е.
первый символ расширения заменяется символом "
#
"). Этот параметр целесообразно применять для файлов других ОС,
выявленных при эвристическом анализе как подозрительные.
Переименование сделает невозмож ным случайный запуск исполняемых модулей в этих системах или загрузку зараж енных документов прилож ений без дальнейшей проверки и таким образом предотвратит зараж ение возмож ным вирусом и дальнейшее его распространение.
Параметр перемещения переместит зараж енный
(или подозрительный)
файл в
предназначенную для этого директорию карантина
(по умолчанию
%var_dir/

Руководство администратора
121
Консольный cканер Dr.Web Scanner
infected/)
. Пока он имеет чисто теоретическое значение:
для файлов других ОС перемещение не имеет смысла, т.к они не могут нанести вреда UNIX системе, перемещение ж е подозрительных файлов самой UNIX системы мож ет вызвать ошибки в работе системы, вплоть до полного ее отказа.
В результате форма запуска
Сканера
для повседневного использования представляется следующей:
$ drweb <путь> -cu -icd -spm -ar -ha -fl-
-ml -sd
Такая команда мож ет быть сохранена в виде текстового файла,
который затем с помощью команды:
# chmod a+x [имя файла]
мож ет быть оформлен как сценарий командной оболочки или серия сценариев для различных ситуаций. Однако набор параметров по умолчанию мож ет быть изменен и при настройке
Сканера
, о чем говорится в следующем разделе.

Руководство администратора
122
Консольный cканер Dr.Web Scanner
Настройки
Разумеется, мож но использовать
Сканер
с настройками по умолчанию, но значительно удобнее настроить его для соответствия конкретным требованиям и
условиям эксплуатации.
Настройки
Сканера
хранятся в
конфигурационном файле программы
(по умолчанию drweb32.ini
), который размещается в директории
%
etc_dir
. Для использования другого конфигурационного файла полный путь к нему необходимо указать параметром командной строки при запуске
Сканера
, например:
$ %bin_dir/drweb -ini=%bin_dir/etc/drweb.ini
Устройство конфигурационного файла и краткое описание его параметров приведены в разделе
Конфигурационные файлы
Секция [
Scanner
]
EnginePath = {путь к файлу, обычное расширение dll}
Расположение модуля drweb32.dll
(антивирусное ядро). Этот параметр также используется модулем обновления.
Значение по умолчанию:
EnginePath
=
%bin_dir/lib/
drweb32.dll
VirusBase = {список путей (масок) к файлам, обычное расширение vdb}
Маски для подключаемых вирусных баз.
Этот параметр также используется модулем обновления.
Допустимо перечисление нескольких масок.
Значение по умолчанию:
VirusBase = %var_dir/bases/*.
vdb,%var_dir/bases/*.VDB
UpdatePath = {путь к директории}
Этот параметр используется модулем обновления (
update.pl
) и должен быть задан обязательно.

Руководство администратора
123
Консольный cканер Dr.Web Scanner
Значение по умолчанию:
UpdatePath = %var_dir/updates/
TempPath = {путь к директории}
Эта директория используется антивирусным ядром для создания временных файлов. При нормальной работе директория практически не используется, она нужна для распаковки некоторых видов архивов, или когда в системе не хватает памяти.
Значение по умолчанию:
TempPath = /tmp/
LngFileName = {путь к файлу языковых ресурсов, обычное расширение dwl}
Расположение файла языковых ресурсов.
Значение по умолчанию:
LngFileName = %bin_dir/lib/
ru_scanner.dwl
Key = {путь к ключевому файлу,
обычное расширение key}
Расположение ключевого файла
(лицензионного или демонстрационного).
Значение по умолчанию:
Key = %bin_dir/drweb32.key
OutputMode =
{Terminal | Quiet}
Режим вывода информации при запуске:
Terminal
- вывод на консоль,
Quiet

отменяет вывод.
Значение по умолчанию:
OutputMode = Terminal

Руководство администратора
124
Консольный cканер Dr.Web Scanner
HeuristicAnalysis =
{Yes | No}
Включение использования эвристического анализатора.
Эвристический анализ делает возможным обнаружение неизвестных вирусов по априорным соображениям об устройстве вирусного кода.
Особенностью этого типа поиска вирусов является вероятностный характер обнаружения заражения, что позволяет говорить не о зараженных, а о
подозрительных объектах.
При отключении этого режима осуществляется только поиск известных вирусов по вирусным базам
"Д окт ор
Веб"
. Целый класс программ ввиду использования сходного с вирусами кода может вызывать ложные срабатывания эвристического анализатора.
Кроме того,
данный режим может незначительно увеличить время проверки. Данные обстоятельства могут быть доводами в пользу отключения эвристического анализа. Вместе с тем,
включение этого типа анализа увеличивает надежность антивирусной защиты. Все файлы, обнаруженные эвристическим анализатором,
лучше всего отправить разработчикам через сайт http://vms.drweb.com/sendvirus/
Отправку подозрительных файлов рекомендуется производить следующим образом: запаковать файл в архив с паролем, пароль сообщить в теле письма, при этом желательно приложить отчет
Сканера
Значение по умолчанию:
HeuristicAnalysis = Yes
ScanPriority =
{значение}
Приоритет работы
Сканера
. Значение параметра должно быть в диапазоне от высшего значения (
-20
) до низшего (
19
для Linux,
20
для остальных ОС).
Значение по умолчанию:
1   2   3   4   5   6   7   8   9   10


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал