В каком случае нужно понизить приоритет сканирования в настройках dr web сканера

Обновлено: 03.07.2024

Постоянно выявляйте и оценивайте риски в вашей среде

Управление уязвимостями — это процесс выявления, оценки, устранения и составления отчетов об уязвимостях безопасности в системах и программном обеспечении, которое на них работает. Это, реализованное наряду с другими тактиками безопасности, жизненно важно для организаций, чтобы определить приоритеты возможных угроз и свести к минимуму их «поверхность атаки».

Уязвимости системы безопасности, в свою очередь, относятся к технологическим недостаткам, которые позволяют злоумышленникам скомпрометировать продукт и хранящуюся в нем информацию. Этот процесс необходимо выполнять постоянно, чтобы не отставать от новых систем, добавляемых в сети, изменений, вносимых в системы, и обнаружения новых уязвимостей с течением времени.

Управление рисками уязвимостей

Программное обеспечение для управления уязвимостями может помочь автоматизировать этот процесс. Они будут использовать сканер уязвимостей и иногда агенты конечных точек для инвентаризации различных систем в сети и поиска в них уязвимостей. После выявления уязвимостей необходимо оценить риск, который они представляют, в различных контекстах, чтобы можно было принять решение о том, как лучше с ними обращаться. Например, проверка уязвимости может быть эффективным способом контекстуализации реальной серьезности уязвимости.

В чем разница между управлением уязвимостями и оценкой уязвимостей?

Как правило, оценка уязвимостей является частью полной системы управления уязвимостями. Организации, скорее всего, будут проводить несколько оценок уязвимостей, чтобы получить больше информации о своем плане действий по управлению уязвимостями.

Процесс управления уязвимостями можно разбить на следующие четыре шага:

Выявление уязвимостей
Оценка уязвимостей
Лечение уязвимостей
Сообщение об уязвимостях

Шаг 1. Выявление уязвимостей

В основе типичного решения по управлению уязвимостями лежит сканер уязвимостей. Сканирование состоит из четырех этапов:

Сканировать доступные по сети системы, отправляя им пакеты TCP/UDP
Выявление открытых портов и служб, работающих в сканируемых системах.
Если возможно, войдите в систему удаленно, чтобы получить подробную информацию о системе.
Сопоставление информации о системе с известными уязвимостями

Сканеры уязвимостей могут идентифицировать различные системы, работающие в сети, такие как ноутбуки и настольные компьютеры, виртуальные и физические серверы, базы данных, брандмауэры, коммутаторы, принтеры и т. д. Выявленные системы проверяются на наличие различных атрибутов: операционная система, открытые порты, установленное программное обеспечение, учетные записи пользователей, структура файловой системы, конфигурации системы и многое другое. Затем эта информация используется для связывания известных уязвимостей с сканируемыми системами. Для выполнения этой ассоциации сканеры уязвимостей будут использовать базу данных уязвимостей, содержащую список общеизвестных уязвимостей.

Правильная настройка сканирования уязвимостей является важным компонентом решения по управлению уязвимостями. Сканеры уязвимостей иногда могут нарушить работу сетей и систем, которые они сканируют. Если доступная пропускная способность сети становится очень ограниченной в часы пиковой нагрузки организации, сканирование уязвимостей следует запланировать на нерабочее время.

Если некоторые системы в сети становятся нестабильными или ведут себя неустойчиво при сканировании, может потребоваться исключить их из сканирования уязвимостей или настроить сканирование, чтобы оно было менее разрушительным. Адаптивное сканирование — это новый подход к дальнейшей автоматизации и оптимизации сканирования уязвимостей на основе изменений в сети. Например, когда новая система подключается к сети в первый раз, сканер уязвимостей просканирует только эту систему как можно скорее, вместо того, чтобы ждать еженедельного или ежемесячного сканирования, чтобы начать сканирование всей сети.

Однако сканеры уязвимостей больше не являются единственным способом сбора данных об уязвимостях системы. Агенты конечных точек позволяют решениям по управлению уязвимостями непрерывно собирать данные об уязвимостях из систем без сканирования сети. Это помогает организациям поддерживать актуальные данные об уязвимостях системы независимо от того, подключены ли, например, ноутбуки сотрудников к сети организации или домашней сети сотрудника.

Независимо от того, как решение для управления уязвимостями собирает эти данные, их можно использовать для создания отчетов, показателей и информационных панелей для различных аудиторий.

Шаг 2. Оценка уязвимостей

После выявления уязвимостей их необходимо оценить, чтобы устранить связанные с ними риски надлежащим образом и в соответствии со стратегией управления рисками организации.Решения по управлению уязвимостями будут предоставлять различные рейтинги риска и баллы для уязвимостей, такие как баллы Common Vulnerability Scoring System (CVSS). Эти оценки помогают организациям определить, на каких уязвимостях им следует сосредоточиться в первую очередь, но истинный риск, связанный с той или иной уязвимостью, зависит от некоторых других факторов, помимо этих готовых оценок риска и оценок.

Вот несколько примеров дополнительных факторов, которые следует учитывать при оценке уязвимостей:

Является ли эта уязвимость истинным или ложным срабатыванием?
Может ли кто-нибудь напрямую воспользоваться этой уязвимостью из Интернета?
Насколько сложно использовать эту уязвимость?
Известен ли опубликованный код эксплойта для этой уязвимости?
Как повлияет на бизнес использование этой уязвимости?
Существуют ли какие-либо другие меры безопасности, которые снижают вероятность и/или последствия использования этой уязвимости?
Сколько лет уязвимости/как долго она существует в сети?

Как и любой инструмент безопасности, сканеры уязвимостей не идеальны. Уровень ложноположительных результатов при обнаружении уязвимостей у них хоть и низкий, но все же выше нуля. Выполнение проверки уязвимостей с помощью инструментов и методов тестирования на проникновение помогает отсеять ложные срабатывания, чтобы организации могли сосредоточить свое внимание на устранении реальных уязвимостей. Результаты проверок уязвимостей или полномасштабных тестов на проникновение часто могут стать откровением для организаций, которые считали, что они достаточно защищены или что уязвимость не была настолько рискованной.

Шаг 3. Устранение уязвимостей

После того, как уязвимость проверена и считается рискованной, следующим шагом является определение приоритетов в отношении того, как обрабатывать эту уязвимость с первоначальными заинтересованными сторонами в бизнесе или сети. Существуют различные способы устранения уязвимостей, в том числе:

Исправление: полное исправление или исправление уязвимости, чтобы ее нельзя было использовать. Это идеальный вариант лечения, к которому стремятся организации.
Смягчение последствий: уменьшение вероятности и/или воздействия использования уязвимости. Иногда это необходимо, когда надлежащее исправление или патч еще не доступны для выявленной уязвимости. В идеале этот вариант следует использовать, чтобы выиграть время для устранения уязвимости организацией.
Принятие: не предпринимать никаких действий для исправления или иного уменьшения вероятности/воздействия использования уязвимости. Обычно это оправдано, когда риск уязвимости считается низким, а стоимость устранения уязвимости значительно выше, чем затраты организации в случае использования уязвимости.

Решения по управлению уязвимостями предоставляют рекомендуемые методы устранения уязвимостей. Иногда рекомендация по исправлению не является оптимальным способом устранения уязвимости; в таких случаях правильный подход к исправлению должен быть определен группой безопасности организации, владельцами систем и системными администраторами. Устранение неполадок может быть таким же простым, как установка легкодоступного программного исправления, или сложным, как замена парка физических серверов в сети организации.

После завершения действий по исправлению лучше запустить еще одно сканирование уязвимостей, чтобы убедиться, что уязвимость полностью устранена.

Однако не все уязвимости нужно устранять. Например, если сканер уязвимостей организации выявил уязвимости в Adobe Flash Player на их компьютерах, но они полностью запретили использование Adobe Flash Player в веб-браузерах и других клиентских приложениях, то эти уязвимости можно считать в достаточной степени смягченными за счет компенсирующего контроля.

Шаг 4. Сообщение об уязвимостях

Выполнение регулярных и непрерывных оценок уязвимостей позволяет организациям оценить скорость и эффективность своей программы управления уязвимостями с течением времени. Решения для управления уязвимостями обычно имеют различные параметры для экспорта и визуализации данных сканирования уязвимостей с помощью различных настраиваемых отчетов и информационных панелей. Это не только помогает ИТ-командам легко понять, какие методы исправления помогут им устранить большинство уязвимостей с наименьшими усилиями, или помогает командам безопасности отслеживать тенденции уязвимостей с течением времени в различных частях их сети, но также помогает поддерживать соответствие требованиям организаций. и нормативные требования.

Опережать злоумышленников с помощью управления уязвимостями

Угрозы и злоумышленники постоянно меняются, так же как организации постоянно добавляют в свои среды новые мобильные устройства, облачные сервисы, сети и приложения.С каждым изменением возникает риск того, что в вашей сети откроется новая дыра, позволяющая злоумышленникам проскользнуть внутрь и уйти с вашими драгоценностями в короне.

Каждый раз, когда вы получаете нового аффилированного партнера, сотрудника, клиента или клиента, вы открываете для своей организации новые возможности, но также подвергаете ее новым угрозам. Для защиты вашей организации от этих угроз требуется решение для управления уязвимостями, которое может не отставать от всех этих изменений и адаптироваться к ним. Без этого злоумышленники всегда будут на шаг впереди.

Приложение A. Переключатели командной строки для Dr.Web Scanner NT4

В этом разделе приведены параметры командной строки для Dr.Web Scanner NT4.

Переключатели для Сканера Dr.Web приведены в Руководстве Антивируса Dr.Web для Windows, подраздел «Переключатели сканера и консольного сканера» в Приложении А.

При запуске задачи сканирования ее выполняет Сканер Dr.Web. При необходимости вы можете указать дополнительные параметры проверки. Вы можете ввести следующие параметры (разделенные пробелами) в поле ввода Аргументы:

◆ /@ или /@+ указывает проверять объекты, перечисленные в указанном файле. Каждый объект указан в отдельной строке списка-файла. Это может быть как полный путь с именем файла, так и строка ?boot, означающая, что необходимо выполнить сканирование загрузочных секторов. Для версии сканера с графическим интерфейсом там должны быть указаны имена файлов с маской и имена директорий. Список-файл можно подготовить вручную в любом текстовом редакторе; это также можно сделать автоматически через приложения, использующие сканер для проверки определенных файлов. После завершения сканирования сканер удаляет файл-список, если он используется без символа +.

◆ /AL — сканировать все файлы на данном устройстве или в указанной папке, независимо от расширения или внутреннего формата.

◆ /AR – для проверки файлов внутри архивов. В настоящее время сканирование архивов (без лечения), созданных архиваторами ARJ, PKZIP, ALZIP, AL RAR, LHA, GZIP, TAR, BZIP2, 7-ZIP, ACE и др., а также CAB-архивов MS – Доступны CAB-файлы Windows (упаковка QUANTUM пока не поддерживается) и ISO-образы оптических дисков (CD и DVD). Как указано ( /AR ), ключ дает указание информировать пользователя при обнаружении архива с зараженными или подозрительными файлами. Если переключатель дополнен модификатором D , M или R, выполняются другие действия:

• /ARM — переместить (по умолчанию в папку Карантин);

• Переключатель может заканчиваться модификатором N, и в этом случае имя архиватора после имени архивируемого файла печататься не будет.

◆ /CU – действия с зараженными файлами и загрузочными секторами дисков. Исцеляемые объекты лечатся, а неизлечимые файлы удаляются без дополнительных модификаторов D , M или R (если ключом /IC не указано иное действие). Другие действия, предпринятые в отношении зараженных файлов:

• /CUM — переместить (по умолчанию в папку Карантин);

◆ /DA – сканировать компьютер один раз в день. Дата следующей проверки прописывается в конфигурационном файле и поэтому должна быть доступна для записи и последующей перезаписи.

◆ /EX — для проверки файлов с расширениями, указанными в конфигурационном файле по умолчанию, или, если недоступны, это EXE, COM, DLL, SYS, VXD, OV?, BAT, BIN, DRV, PRG, BOO, SCR, CMD, 386, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VB*, JS*, INF, PP?, OBJ, LIB, PIF, AR?, ZIP, R. GZ, Z, TGZ, TAR, TAZ, CAB, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SH, SHB, SHS, SHT*, MSG, CHM, XML, PRC, ASP, LSP, MSO, OBD, THE*, EML, NWS, SWF, MPP, TBB .

Если элемент списка проверенных объектов содержит явное расширение файла и используется со специальными символами * и ? , будут проверены все файлы, указанные в этом элементе списка, а не только те, которые соответствуют этому списку расширений.

◆ /FN – для загрузки русских букв в декодер видеоизображения (только для Dr.Web для DOS).

◆ /GO – пакетный режим работы программы. Все вопросы, подразумевающие ответы от пользователя, пропускаются; решения, подразумевающие выбор, принимаются автоматически. Этот режим удобен для автоматической проверки файлов, например, при ежедневной или еженедельной проверке жесткого диска.

◆ /HA — для эвристического сканирования файлов и поиска в них неизвестных вирусов.

◆ /ICR , /ICD или /ICM – действия с зараженными файлами, которые невозможно вылечить:

– использовать альтернативный файл конфигурации с указанным именем или путем.

◆ /LNG: или /LNG — использовать файл альтернативных языковых ресурсов (DWL-файл) с указанным именем или путем, а если путь не указан — встроенный (английский) язык.

◆ /ML – сканировать файлы формата электронной почты (UUENCODE, XXENCODE, BINHEX и MIME). Как указано ( /ML ), переключатель дает указание информировать пользователя об обнаружении зараженного или подозрительного объекта в почтовом архиве. Если переключатель дополнен модификатором D , M или R, выполняются другие действия:

• /MLM — переместить (по умолчанию в папку Карантин);

• Дополнительно переключатель может быть дополнен дополнительным модификатором N (при этом могут быть установлены и базовые модификаторы). В этом случае вывод информации о сообщениях почтового архива отключен.

◆ /MW – действия со всеми типами нежелательных программ. Как указано ( /MW ), переключатель дает указание информировать пользователя. Если переключатель дополнен модификатором D , M , R или I, выполняются другие действия:

• /MWM — переместить (по умолчанию в папку Карантин);

• /MWI – игнорировать. Действия с определенными типами нежелательных программ задаются переключателями /ADW , /DLS , /JOK , /RSK , /HCK.

◆ /NI – не использовать параметры, указанные в конфигурационном файле drweb32.ini.

◆ /NR — не создавать файл журнала.

◆ /NS – отключить прерывание сканирования компьютера. Если указан этот переключатель, пользователь не сможет прервать сканирование, нажав Esc .

◆ /OK — вывести полный список проверенных объектов и пометить незараженные кнопкой Ok .

◆ /PF – подсказка включена, если сканируется несколько дискет.

◆ /PR — запрашивать подтверждение перед действием.

◆ /QU — сканер проверяет объекты, указанные в командной строке (файлы, диски, папки), а затем автоматически завершает работу (только для версии сканера с графическим интерфейсом).

◆ /RP или /RP+ — запись в файл, указанный в переключателе. Если имя не указано, записывать в файл по умолчанию. Если присутствует символ +, файл добавляется. Если персонажа нет, создается новый.

◆ /SCP : — устанавливает приоритет процесса сканирования, где число от 1 до 50.

◆ /SD — сканировать вложенные папки.

◆ /SHELL — для версии сканера с графическим интерфейсом. Переключатель отключает отображение заставки, сканирование памяти и файлов автозапуска. Ранее сохраненные списки путей к проверяемым файлам и папкам по умолчанию не загружаются для проверки. Этот режим позволяет использовать версию сканера с графическим интерфейсом вместо консольной, чтобы сканировать только те объекты, которые перечислены в параметрах командной строки.

◆ /SO — включить звуки.

◆ /SPR , /SPD или /SPM — действия с подозрительными файлами:

◆ /SS – сохранить режим, заданный при текущем запуске программы, в конфигурационном файле при завершении работы программы.

◆ /ST – устанавливает скрытый режим версии сканера с графическим интерфейсом. Программа работает без открытия окон и самозавершается. Но, если при сканировании были обнаружены вирусные объекты, окно сканера откроется после завершения сканирования. Такой режим сканирования предполагает, что в командной строке указывается список проверяемых объектов.

◆ /TB — сканирование загрузочных секторов и основных загрузочных записей (MBR) жесткого диска.

◆ /TM – поиск вирусов в оперативной памяти (включая системную область ОС Windows). Доступно только для сканеров для ОС Windows.

◆ /TS – поиск вирусов в файлах автозапуска (в каталоге автозапуска, системных INI-файлах, реестре ОС Windows). Используется только в сканерах для ОС Windows.

◆ /UP или /UPN — отключить вывод сканерами названий программ, используемых для упаковки, конвертации или вакцинации проверяемых исполняемых файлов в лог-файл.

◆ /WA — не завершать работу программы до нажатия любой клавиши, если обнаружены вирусы или подозрительные объекты (только для консольных сканеров).

◆ /? – отображать краткую справку по программе.

Некоторые переключатели позволяют использовать символ «–» в конце. В такой «отрицательной» форме переключатель означает отмену режима. Такая опция может быть полезна, если определенный режим включен по умолчанию или с настройками, указанными ранее в конфигурационном файле. Вот список ключей командной строки, разрешающих "отрицательную" форму:
/ADW /AR /CU /DLS /FN /HCK /JOK /HA /IC /ML /MW /OK /PF /PR /RSK /SD /SO /SP/SS /TB /TM /TS /UP /WA

Для ключей /CU , /IC и /SP "минусовая" форма отменяет любые действия, указанные в описании этих ключей. Это означает, что о зараженных и подозрительных объектах будет сообщено, но никаких действий не будет.

Для ключей /INI и /RP "отрицательная" форма записывается как /NI и /NR соответственно.

Для ключей /AL и /EX "отрицательная" форма не допускается. Однако указание одного из них отменяет другое.

Если в командной строке найдено несколько альтернативных параметров, в силу вступает последний из них.

Параметры консольного сканера DWScancl

◆ /AR – файлы тестового архива. Опция включена по умолчанию.

◆ /AC – тестовые контейнеры. Опция включена по умолчанию.

◆ /AFS — используйте косую черту для разделения путей в архиве. Параметр отключен по умолчанию.

◆ / ARC : – максимальное сжатие объекта архива. Если степень сжатия архива превышает лимит, Консольный Сканер не распаковывает и не сканирует архив. По умолчанию без ограничений.

◆ /ARL : – максимальный уровень архива. По умолчанию без ограничений.

◆ /ARS : – максимальный размер архива.если размер архива превышает лимит, Сканер не распаковывает и не сканирует архив, КБ. По умолчанию без ограничений.

◆ /ART : – минимизировать архивный объект, соответствующий /ARC . минимальный размер файла внутри архива, начиная с которого будет производиться проверка степени сжатия, в КБ. По умолчанию без ограничений.

◆ /ARX : – максимальный размер объекта архива в КБ. По умолчанию без ограничений.

◆ /BI – показать информацию о вирусных базах. Опция включена по умолчанию.

◆ /DR – каталог рекурсивного сканирования. Опция включена по умолчанию.

◆ /E : – максимальное количество используемых движков Dr.Web.

– сканировать файлы, перечисленные в указанном файле.

◆ /FM : – сканировать файлы по маскам. По умолчанию сканируются все файлы.

◆ /FR : – сканировать файлы, соответствующие выражению. По умолчанию сканируются все файлы.

◆ /H или /? – показать справочное сообщение.

◆ /HA — использовать эвристический анализ. Опция включена по умолчанию.

◆ /KEY : — указать путь к файлу лицензионного ключа. Этот параметр необходим, если файл ключа находится не в каталоге с Консольным сканером. По умолчанию используется ключевой файл из папки установки Антивируса.

◆ /LN — разрешить ссылки оболочки. Параметр отключен по умолчанию.

◆ /LS — использовать права учетной записи LocalSystem. Параметр отключен по умолчанию.

◆ /MA — проверка электронной почты как файлов. Опция включена по умолчанию.

◆ /NB — не создавать резервные копии лечащих/удаляющих файлов. Параметр отключен по умолчанию.

◆ /NI[:X] — хороший режим 0-100, низкое использование ресурсов в %. По умолчанию без ограничений.

◆ /NT — тестировать потоки NTFS. Опция включена по умолчанию.

◆ /OK — показывать OK для чистых файлов. Параметр отключен по умолчанию.

• N – общий. Приоритет по умолчанию

◆ /PAL : – максимальный уровень пакета. Значение по умолчанию – 1000.

◆ /RA : — добавить отчет в файл.log. По умолчанию нет отчета.

◆ /RP : – записать отчет в файл.log. По умолчанию нет отчета.

◆ /RPC : – Тайм-аут подключения Dr.Web Scanning Engine. По умолчанию тайм-аут составляет 30 секунд.

◆ /RPCD — использовать динамическую идентификацию RPC.

◆ /RPCE — использовать динамическую конечную точку RPC.

◆ /RPCE : — использовать указанную конечную точку RPC.

◆ /RPCH : – использовать указанное имя хоста для удаленного вызова.

◆ /RPCP : – использовать указанный протокол RPC. Возможные протоколы: lpc, np, tcp.

◆ /QL — список файлов, помещенных в карантин на всех дисках.

◆ /QL : — перечислить файлы в карантине на указанном диске (буква).

◆ /QR[:[d][:p]] — удалить помещенные в карантин файлы на диске (буква) старше

дней ( число) . Unspecified — все диски, неуказанные

◆ /QNA — имена файлов всегда в двойных кавычках.

◆ /REP — идти по точкам повторной обработки. Параметр отключен по умолчанию.

◆ /SCC — показать содержимое составных объектов. Параметр отключен по умолчанию.

◆ /SCN — показать имя контейнера. Параметр отключен по умолчанию.

◆ /SPN — показать имя упаковщика. Параметр отключен по умолчанию.

◆ /SLS – показать экран входа в систему. Опция включена по умолчанию.

◆ /SPS — показать прогресс на экране. Опция включена по умолчанию.

◆ /SST – показать время проверки файла. Параметр отключен по умолчанию.

◆ /TB — тестировать загрузочные сектора. Параметр отключен по умолчанию.

◆ /TM – тестовые процессы в памяти. Параметр отключен по умолчанию.

◆ /TS – тестировать процессы запуска системы. Параметр отключен по умолчанию.

◆ /TR – проверка каталогов точек восстановления системы. Параметр отключен по умолчанию.

◆ /W : – максимальное время сканирования в секундах. По умолчанию без ограничений.

◆ /WCL — вывод, совместимый с drwebwcl.

◆ /X:S[:R] — установить состояние питания ShutDown/Reboot/Suspend/Hibernate с причиной R (для выключения/перезагрузки).

Действие для разных объектов ( C - вылечить, Q - переместить в карантин, D - удалить, I - игнорировать, R - сообщить . R установлено по умолчанию для всех объектов):

◆ /AAD:X — действие для рекламного ПО ( R , возможно DQIR).

◆ /AAR:X — действие для зараженных архивных файлов ( R , возможно DQIR).

◆ /ACN:X — действие для зараженных файлов-контейнеров ( R , возможно DQIR).

◆ /ADL:X – действие для номеронабирателей ( R , возможно DQIR).

◆ /AHT:X — действие для hacktools ( R , возможно DQIR).

◆ /AIC:X — действие для неизлечимых файлов ( R , возможно DQR).

◆ /AIN:X — действие для зараженных файлов ( R , возможно CDQR).

◆ /AJK:X – действие для шуток ( R , возможно DQIR).

◆ /AML:X – действие для зараженных файлов электронной почты ( R , возможно QIR).

◆ /ARW:X — действие для потенциально опасного ПО ( R , возможно DQIR).

◆ /ASU:X — действие для подозрительных файлов ( R , возможно DQIR).

Некоторые параметры могут иметь модификаторы, которые явно включают или отключают параметры, заданные этими ключами. Например:

Опция /AC- явно отключена,
опция /AC , /AC+ явно включена.

Эти модификаторы могут быть полезны, если опция была включена или отключена по умолчанию или была установлена ранее в файле конфигурации. Ключи с модификаторами перечислены ниже:

/AR , /AC , /AFS , /BI , /DR , /HA , /LN , /LS , /MA , /NB , /NT , /OK , /QNA , /REP , /SCC , /SCN , /SPN , /SLS , /SPS , /SST , /TB , /TM , /TS , /TR , /WCL .

Для параметра /FL модификатор "-" указывает на сканирование путей, перечисленных в указанном файле, и последующее удаление этого файла.

Для параметров /ARC , /ARL , /ARS , /ART , /ARX , /NI[:X], /PAL , /RPC и /W значение "0" означает, что ограничений нет.

Пример использования параметров командной строки с консольным сканером DWScancl:

] dwscancl /AR- /AIN:C /AIC:Q C:\

сканировать все файлы на диске C:, кроме находящихся в архивах; вылечить зараженные файлы и поместить в карантин те, которые невозможно вылечить.

Параметры сканера и консольного сканера

Автоматически применять действия к обнаруженным угрозам. (Только для сканера.)

Сканировать установочные пакеты. Опция включена по умолчанию.

Используйте косую черту для разделения путей в архиве. Параметр отключен по умолчанию.

Сканировать архивы. Опция включена по умолчанию.

Максимальный уровень сжатия. Если степень сжатия архива превышает лимит, Сканер не распаковывает и не сканирует архив. По умолчанию: без ограничений.

Максимальный уровень вложенности архива. По умолчанию: без ограничений.

Максимальный размер архива (в КБ). По умолчанию: без ограничений.

Минимальный размер файла внутри архива, начиная с которого выполняется проверка степени сжатия (в КБ). По умолчанию: без ограничений.

Максимальный размер файла внутри сканируемого архива (в КБ). По умолчанию: без ограничений.

Показать информацию о вирусных базах. Опция включена по умолчанию.

Выполните пользовательское сканирование. Если заданы дополнительные параметры (например, объекты для проверки или параметры /TM и /TB), будут проверены только указанные объекты. (Только для сканера.)

Используйте облачную проверку. Опция включена по умолчанию. (Только для консольного сканера.)

Не отображать расчетное время сканирования. (Только для консольного сканера.)

Рекурсивно сканировать папки (сканировать вложенные папки). Опция включена по умолчанию.

Выполнить сканирование в заданном количестве потоков.

Выполните экспресс-сканирование системы. Если заданы дополнительные параметры (например, проверяемые объекты или параметры /TM и /TB), указанные объекты также будут проверены. (Только для сканера.)

Сканировать пути, указанные в указанном файле.

Сканировать файлы, соответствующие указанной маске. По умолчанию сканируются все файлы.

Сканировать файлы, соответствующие указанному регулярному выражению. По умолчанию сканируются все файлы.

Выполните полную проверку всех жестких дисков и съемных носителей (включая загрузочные сектора). Если заданы дополнительные параметры (например, проверяемые объекты или параметры /TM и /TB), будет выполнена экспресс-проверка, при этом будут проверены указанные объекты. (Только для сканера.)

Исключить из сканирования файлы, соответствующие указанной маске. (Только для консольного сканера.)

Режим работы сканера, пропускающий вопросы, требующие ответа от пользователя; решения, требующие выбора, принимаются автоматически. Этот режим полезен для автоматического сканирования файлов; например, для ежедневного или еженедельного сканирования жесткого диска. В командной строке необходимо указать объект для сканирования. Наряду с параметром /GO также можно использовать следующие параметры: /LITE, /FAST, /FULL. В этом режиме сканирование останавливается при переходе на питание от батареи.

Показать краткую справку. (Только для консольного сканера.)

Используйте эвристический анализ для обнаружения неизвестных угроз. Опция включена по умолчанию.

Укажите путь к файлу ключа. Этот параметр необходимо использовать, если ваш ключевой файл хранится вне папки установки, в которой находятся исполняемые файлы сканера. По умолчанию используется drweb32.key или другой подходящий файл из папки C:\Program Files\DrWeb\.

Выполните базовое сканирование оперативной памяти и загрузочных секторов всех дисков, а также сканирование на наличие руткитов. (Только для сканера.)

Разрешить ссылки оболочки. Параметр отключен по умолчанию.

Сканировать с правами учетной записи LocalSystem. Параметр отключен по умолчанию.

Сканировать почтовые файлы. Опция включена по умолчанию.

Установите максимальное количество попыток лечения. По умолчанию: без ограничений.

Не делайте резервные копии вылеченных или удаленных файлов. Параметр отключен по умолчанию.

Ограничивает использование системных ресурсов при сканировании (%). Определяет объем памяти, необходимый для сканирования, и системный приоритет процесса сканирования. По умолчанию: без ограничений.

Отменить перезагрузку или выключение системы после сканирования. (Только для сканера.)

Сканировать потоки NTFS. Опция включена по умолчанию.

Показать полный список проверенных объектов и пометить чистые файлы с помощью Ok . Параметр отключен по умолчанию.

Приоритет текущей задачи сканирования. Может быть следующим:

N — обычный (приоритет по умолчанию)

Максимальный уровень вложенности исполняемых упаковщиков. Если уровень вложенности больше указанного значения, сканирование продолжается до тех пор, пока не будет достигнуто это ограничение.По умолчанию уровень вложенности равен 1000.

Показать список файлов, помещенных в карантин на всех дисках. (Только для консольного сканера.)

Показать список файлов, помещенных в карантин на указанном логическом диске. (Только для консольного сканера.)

Пути в двойных кавычках.

Удалить помещенные в карантин файлы на диске d >(буква_логического_диска), которые старше p > (число) дней. Если d > и p > не указаны, удаляются все помещенные в карантин файлы на всех дисках. (Только для консольного сканера.)

/QUIT — завершить работу Сканера после завершения сканирования независимо от того, применялись ли какие-либо действия к обнаруженным угрозам. (Только для сканера.)

Добавить отчет о работе программы в указанный файл. По умолчанию ведение журнала отключено (при запуске Сканера в режиме командной строки).

Переход по символическим ссылкам во время сканирования. Параметр отключен по умолчанию.

Сканировать на наличие руткитов. Параметр отключен по умолчанию.

Тайм-аут соединения Scanning Engine. Тайм-аут по умолчанию составляет 30 секунд. (Только для консольного сканера.)

Используйте динамическую идентификацию RPC. (Только для консольного сканера.)

Используйте динамическую конечную точку RPC. (Только для консольного сканера.)

Использовать указанную конечную точку RPC. (Только для консольного сканера.)

Использовать указанное имя хоста для удаленного вызова. (Только для консольного сканера.)

Использовать указанный протокол RPC. Возможные протоколы: lpc, np, tcp. (Только для консольного сканера.)

Показать содержимое сложных объектов. Параметр отключен по умолчанию.

Показать имя установочного пакета. Параметр отключен по умолчанию.

Показать журналы на экране. Опция включена по умолчанию. (Только для консольного сканера.)

Показать имя упаковщика. Параметр отключен по умолчанию.

Отображение хода сканирования на экране. Опция включена по умолчанию. (Только для консольного сканера.)

Показать время сканирования объекта. Параметр отключен по умолчанию.

Запуск Сканера в фоновом режиме. Если параметр /GO не задан, графический режим отображается только в случае обнаружения угрозы. В этом режиме сканирование останавливается при переходе на питание от батареи.

Сканировать загрузочные сектора, включая главную загрузочную запись (MBR) жесткого диска.

Сканировать процессы в памяти, включая область управления системой Windows.

Сканировать точки восстановления системы.

Максимальное время сканирования (сек.). По умолчанию: без ограничений.

Вывод, совместимый с drwebwcl. (Только для консольного сканера.)

Установите одно из следующих состояний для перехода компьютера после завершения сканирования: Выключение/Перезагрузка/Приостановка/Гибернация.

Для разных объектов можно указать следующие действия ( C — вылечить, Q — поместить в карантин, D — удалить, I — игнорировать, R — сообщить; R доступно только для Консольного Сканера; R установлено по умолчанию для всех объекты в Консольном сканере):

действие для рекламного ПО (возможно: DQIR )

действие для зараженных архивов (возможно: DQIR )

действие для зараженных инсталляционных пакетов (возможно: DQIR )

действие для дозвонщиков (возможно: DQIR )

действие для hacktools (возможно: DQIR )

действие для неизлечимых файлов (возможно: DQR )

действие для зараженных файлов (возможно: CDQR )

акция для шуток (возможно: DQIR )

действие для зараженных почтовых файлов (возможно: QIR )

действие в отношении потенциально опасного ПО (возможно: DQIR )

действие для подозрительных файлов (возможно: DQIR )

Некоторые переключатели могут иметь модификаторы, которые явно включают или отключают параметры, указанные этими переключателями. Например, следующим образом:

опция явно отключена

опция явно включена

Эти модификаторы могут быть полезны, если параметр включен или отключен по умолчанию или был установлен ранее в файле конфигурации. Следующие переключатели могут иметь модификаторы:

/AC, /AFS, /AR, /BI, /DR, /HA, /LN, /LS, /MA, /NB, /NT, /OK, /QNA, /REP, /SCC, /SCN , /SLS, /SPN, /SPS, /SST, /TB, /TM, /TR, /WCL.

Для параметра /FL модификатор '-' указывает на сканирование путей, перечисленных в указанном файле, и последующее удаление этого файла.

Для параметров /ARC, /ARL, /ARS, /ART, /ARX, /NI[:X], /PAL, /RPC, /W значение "0" означает, что ограничений нет.

В следующем примере показано, как использовать переключатели командной строки с консольным сканером:

]dwscancl /AR- /AIN:C /AIC:Q C:\

сканировать все файлы на диске 'C:', кроме находящихся в архивах; вылечить зараженные файлы и поместить в карантин те, которые невозможно вылечить. Чтобы запустить сканер таким же образом, введите имя команды dwscancl вместо dwscanner .

Сканер Dr.Web можно использовать с настройками по умолчанию, но может быть удобно настроить его в соответствии с вашими потребностями. Настройки Сканера Dr.Web хранятся в конфигурационном файле (по умолчанию drweb32.ini), который находится в каталоге %etc_dir.

Чтобы использовать другой файл конфигурации, укажите полный путь к нему в качестве параметра командной строки, например:

Общие принципы организации файлов конфигурации Dr.Web для файловых серверов UNIX см. в разделе Конфигурационные файлы.

Расположение модуля drweb32.dll (антивирусное ядро Dr.Web Engine).

Этот параметр также используется Dr.Web Updater.

Маски для загрузки вирусных баз.

Этот параметр также используется Dr.Web Updater. Допускается несколько значений (разделенных запятыми).

По умолчанию файлы вирусных баз имеют расширение .vdb

Этот параметр используется Dr.Web Updater (update.pl ) и является обязательным.

Каталог, в котором антивирусное ядро Dr.Web Engine хранит временные файлы.

Используется для распаковки архивов или при нехватке памяти в системе

Расположение языкового файла.

По умолчанию языковые файлы имеют расширение .dwl

Расположение файла ключа (лицензия или демонстрационная версия).

По умолчанию файлы ключей имеют расширение .key

• Терминал — консольный вывод

• Тихий – без звука

Включает или отключает эвристическое обнаружение неизвестных вирусов.

Эвристический анализ может обнаруживать ранее неизвестные вирусы, которые не включены в базу данных вирусов. Он использует передовые алгоритмы, чтобы определить, похожа ли структура просканированного файла на архитектуру вируса. Из-за этого эвристический анализ может давать ложные срабатывания: все обнаруженные этим методом объекты считаются подозрительными.

Приоритет процесса Сканера Dr.Web.

Значение должно быть между –20 (самый высокий приоритет) и 19 (Linux) или 20 (другие UNIX-подобные операционные системы).

Типы файлов должны проверяться "по типу", т. е. когда параметр ScanFiles (поясняется ниже) имеет значение ByType.

Типы файлов = EXE, COM, SYS, OV?, BAT, BIN, DRV, PRG, BOO, SCR, CMD, VXD, 386, DLL, FON, DO?, XL?, WIZ, RTF, CL*, HT *, VB*, JS*, INF, AR?, ZIP, R. PP?, OBJ, LIB, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SHS, SHB, PIF, SO, CHM , REG, XML, PRC, ASP, LSP, MSO, OBD, THE*, NWS, SWF, BMP, MPP, OCX, DVB, CPY, MSG, EML

Уведомляет о файлах неизвестных типов.

Предписывает сканировать все файлы (значение All) или только файлы с расширениями, указанными в параметре FileType (значение ByType).

Параметр может иметь значение ByType только в режиме локального сканирования. В других режимах значение должно быть установлено на All .

Все сообщения с ошибками сканируются независимо от значения параметра ScanFiles.

Включает или отключает сканирование подкаталогов.

Включает или отключает проверку файлов в архивах ( RAR , ARJ , TAR , GZIP , CAB и другие).

Включает или отключает проверку почтовых файлов.

Маски файлов, которые нужно пропускать при сканировании.

Допускается несколько значений (разделенных запятыми).

Разрешает или запрещает Dr.Web Scanner переходить по символическим ссылкам во время сканирования.

Маска для переименования файлов при применении действия "Переименовать".

Путь к папке карантина.

Включает или отключает действие Удалить для сложных объектов (архивы, почтовые ящики, HTML-страницы), если они содержат зараженные файлы.

Обратите внимание, если действие включено, будет удален весь сложный объект. Используйте эту опцию осторожно!

Задает одно из следующих действий при обнаружении зараженного файла:

Сообщить, Вылечить, Удалить, Переместить, Переименовать, Игнорировать.

Действия Удалить и Переместить применяются ко всему сложному объекту при обнаружении в нем зараженных файлов.

Задает одно из следующих действий при обнаружении подозрительного файла: