Приложение А. Ключи командной строки для Dr.Web Сканера NT4

В данном разделе приведены ключи командной строки для Dr.Web Сканера NT4.

Ключи для Dr.Web Сканера приведены в Руководстве Антивирус Dr.Web для Windows, в подразделе Приложения А: Ключи для Сканера и Консольного Сканера.

При выполнении задания на сканирование запускается Сканер Dr.Web. При необходимости можно указать дополнительные параметры проверки. В поле ввода Аргументы вы можете указать следующие ключи (через пробел):

◆/@<имя_файла> или /@+<имя_файла> – предписывает произвести проверку объектов, которые перечислены в указанном файле. Каждый объект задается в отдельной строке файла-списка. Это может быть либо полный путь с указанием имени файла, либо строка ?boot, означающая проверку загрузочных секторов, а для GUI-версии Cканера также имена файлов с маской и имена каталогов. Файл-список может быть подготовлен с помощью любого текстового редактора вручную, а также автоматически прикладными программами, использующими сканер для проверки конкретных файлов. После окончания проверки сканер удаляет файл-список, если использована форма ключа без символа +.

◆/AL – проверять все файлы на заданном устройстве или в заданном каталоге независимо от расширения или внутреннего формата.

◆/AR – проверять файлы, находящиеся внутри архивов. В настоящее время обеспечивается проверка (без лечения) архивов, созданных архиваторами ARJ, PKZIP, ALZIP, AL RAR, LHA, GZIP, TAR, BZIP2, 7-ZIP, ACE и др., а также MS CAB-архивов – Windows Cabinet Files (пока не поддерживается метод упаковки QUANTUM) и ISO-образов оптических дисков (CD и DVD). В указанном виде (/AR) ключ задает информирование пользователя в случае обнаружения архива, содержащего зараженные или подозрительные файлы. Если ключ дополняется модификатором D, M или R, производятся иные действия:

•/ARM – перемещать (по умолчанию – в каталог Карантина);

•/ARR – переименовывать (по умолчанию первая буква расширения заменяется на символ #). Ключ может завершаться модификатором N, в таком случае не будет выводиться имя программы-архиватора после имени архивного файла.

◆/CU – действия над инфицированными файлами и загрузочными секторами дисков. Без дополнительных параметров D, M или R производится лечение излечимых объектов и удаление неизлечимых файлов (если другое не задано параметром /IC). Иные действия выполняются только над инфицированными файлами:

•/CUM – перемещать (по умолчанию – в каталог Карантина);

•/CUR – переименовывать (по умолчанию первая буква расширения заменяется на символ #).

◆/DA – проверять компьютер один раз в сутки. Дата следующей проверки записывается в файл конфигурации, поэтому он должен быть доступен для создания и последующей перезаписи.

◆/EX – проверять файлы с расширениями, хранящимися в конфигурационном файле, по умолчанию или при недоступности конфигурационного файла это расширения EXE, COM, DLL, SYS, VXD, OV?, BAT, BIN, DRV, PRG, BOO, SCR, CMD, 386, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VB*, JS*, INF, PP?, OBJ, LIB, PIF, AR?, ZIP, R??, GZ, Z, TGZ, TAR, TAZ, CAB, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SH, SHB, SHS, SHT*, MSG, CHM, XML, PRC, ASP, LSP, MSO, OBD, THE*, EML, NWS, SWF, MPP, TBB.

В случае если элемент списка проверяемых объектов содержит явное указание расширения файла, хотя бы и с применением специальных символов * и ?, будут проверены все файлы, заданные в данном элементе списка, а не только подходящие под список расширений.

◆/FN – загружать русские буквы в знакогенератор видеоадаптера (только для Dr.Web для DOS).

◆/GO – пакетный режим работы программы. Все вопросы, подразумевающие ожидание ответа от пользователя, пропускаются; решения, требующие выбора, принимаются автоматически. Этот режим полезно использовать для автоматической проверки файлов, например, при круглосуточной проверке электронной почты на сервере.

◆/HA – производить эвристический анализ файлов и поиск в них неизвестных вирусов.

◆/ICR, /ICD или /ICM – действия с зараженными файлами, вылечить которые невозможно:

◆/INI:<путь> – использовать альтернативный конфигурационный файл с указанным именем или путем.

◆/LNG:<имя_файла> или /LNG – использовать альтернативный файл языковых ресурсов (dwl-файл) с указанным именем или путем, а если путь не указан – встроенный (английский) язык.

◆/ML – проверять файлы, имеющие формат сообщений E-Mail (UUENCODE, XXENCODE, BINHEX и MIME). В указанном виде (/ML) ключ задает информирование пользователя в случае обнаружения зараженного или подозрительного объекта в почтовом архиве. Если ключ дополняется модификатором D, M, или R, производятся иные действия:

•/MLM – перемещать (по умолчанию – в каталог Карантина);

•/MLR – переименовывать (по умолчанию первая буква расширения заменяется на символ #).

•Кроме того, ключ может завершаться дополнительным модификатором N (одновременно с этим могут быть заданы и основные модификаторы). В таком случае отключается вывод информации о почтовых файлах.

◆/MW – действия со всеми видами нежелательных программ. В указанном виде (/MW) ключ задает информирование пользователя. Если ключ дополняется модификатором D, M, R или I, производятся иные действия:

•/MWM – перемещать (по умолчанию – в каталог Карантина);

•/MWR – переименовывать (по умолчанию первая буква расширения заменяется на символ #);

•/MWI – игнорировать. Действия с отдельными видами нежелательных программ определяются с помощью ключей /ADW, /DLS, /JOK, /RSK, /HCK.

◆/NI – не использовать параметры, записанные в конфигурационном файле программы drweb32.ini.

◆/NS – запретить возможность прерывания проверки компьютера. После указания этого параметра пользователь не сможет прервать работу программы нажатием клавиши Esc.

◆/OK – выводить полный список сканируемых объектов, сопровождая незараженные пометкой OK.

◆/PF – запрашивать подтверждение на проверку следующей дискеты.

◆/PR – выводить запрос подтверждения перед действием.

◆/QU – сканер выполняет проверку указанных в командной строке объектов (файлов, дисков, каталогов), после чего автоматически завершается (только для GUI-версии Cканера).

◆/RP<имя_файла> или /RP+<имя_файла> – записать отчет о работе программы в файл, имя которого указано в ключе. При отсутствии имени записать в файл по умолчанию. При наличии символа + файл дописывается, при отсутствии – создается заново.

◆/SCP:<n> – задает приоритет выполнения сканирования. <n> может принимать значения от 1 до 50 включительно.

◆/SHELL – для GUI-версии Cканера. Отменяет показ заставки, отключает проверку памяти и файлов автозагрузки. Также не загружаются для проверки ранее сохраненные списки путей к проверяемым по умолчанию файлам и каталогам. Этот режим позволяет использовать GUI-версию Cканера вместо консольной для проверки только тех объектов, которые перечислены в параметрах командной строки.

◆/SPR, /SPD или /SPM – действия с подозрительными файлами:

◆/SS – по окончании работы сохранить режимы, заданные при текущем запуске программы, в конфигурационном файле.

◆/ST – задает скрытый режим работы GUI-версии Cканера. Программа работает, не открывая никаких окон и самостоятельно завершаясь. Но если в процессе сканирования были обнаружены вирусные объекты, по завершении работы будет открыто обычное окно Cканера. Такой режим работы Cканера предполагает, что список проверяемых объектов задается в командной строке.

◆/TB – выполнять проверку загрузочных секторов и главных загрузочных секторов (MBR) жесткого диска.

◆/TM – выполнять поиск вирусов в оперативной памяти (включая системную область ОС Windows, только для Cканеров для ОС Windows).

◆/TS – выполнять поиск вирусов в файлах автозапуска (по каталогу Автозагрузка, системным ini-файлам, реестру ОС Windows). Используется только для Cканеров для ОС Windows.

◆/UP или /UPN – проверять исполняемые файлы, упакованные программами ASPACK, COMPACK, DIET, EXEPACK, LZEXE и т. п.; файлы, преобразованные программами BJFNT, COM2EXE, CONVERT, CRYPTCOM и т. п., а также файлы, иммунизированные вакцинами CPAV, F-XLOCK, PGPROT, VACCINE и т. п. Чтобы сканер не отображал на экране название программы, использованной для упаковки, преобразования или вакцинирования проверяемого файла, применяется ключ /UPN.

◆/WA – не завершать работу программы до нажатия на любую клавишу, если обнаружены вирусы или подозрительные объекты (только для консольных Cканеров).

◆/? – вывести на экран краткую справку о работе с программой.

Некоторые параметры допускают задание в конце символа "-". В такой "отрицательной" форме параметр означает отмену соответствующего режима. Такая возможность может быть полезна в случае, если этот режим включен по умолчанию или по выполненным ранее установкам в конфигурационном файле. Список параметров командной строки, допускающих "отрицательную" форму:
/ADW /AR /CU /DLS /FN /HCK /JOK /HA /IC /ML /MW /OK /PF /PR /RSK /SD /SO /SP /SS/TB /TM /TS /UP /WA

Для ключей /CU, /IC и /SP "отрицательная" форма отменяет выполнение любых действий, указанных в описании этих параметров. Это означает, что в отчете будет фиксироваться информация о зараженных и подозрительных объектах, но никаких действий над этими объектами выполняться не будет.

Для ключей /INI и /RP "отрицательная" форма записывается в виде /NI и /NR соответственно.

Для ключей /AL и /EX не предусмотрена "отрицательная" форма, однако задание одного из них отменяет действие другого.

Если в командной строке встречаются несколько взаимоисключающих ключей, то действует последний из них.

◆/AR – проверять архивы. По умолчанию опция включена.

◆/AC – проверять контейнеры. По умолчанию опция включена.

◆/AFS – использовать прямой слеш при указании вложенности внутри архива. По умолчанию опция отключена.

◆/ARC:<число> – максимальный уровень сжатия. Если Консольный сканер определяет, что коэффициент сжатия архива превышает указанный, распаковка и проверка не производится. По умолчанию – без ограничений.

◆/ARL:<число> – максимальный уровень вложенности проверяемого архива. По умолчанию – без ограничений.

◆/ARS:<число> – максимальный размер проверяемого архива, в килобайтах. По умолчанию – без ограничений.

◆/ART:<число> – порог проверки уровня сжатия (минимальный размер файла внутри архива, начиная с которого будет производиться проверка коэффициента сжатия), в килобайтах. По умолчанию – без ограничений.

◆/ARX:<число> – максимальный размер проверяемых объектов в архивах, в килобайтах. По умолчанию – без ограничений.

◆/BI – вывести информацию о вирусных базах. По умолчанию опция включена.

◆/DR – рекурсивно сканировать директории (проверять поддиректории). По умолчанию опция включена.

◆/E:<число> – использовать указанное количество движков.

◆/FL:<имя_файла> – сканировать пути, указанные в файле.

◆/FM:<маска> – сканировать файлы по маске. По умолчанию сканируются все файлы.

◆/FR:<регулярное_выражение> – сканировать файлы по регулярному выражению. По умолчанию сканируются все файлы.

◆/H или /? – вывести на экран краткую справку о работе с программой.

◆/HA – производить эвристический анализ файлов и поиск в них неизвестных вирусов. По умолчанию опция включена.

◆/KEY:<ключевой_файл> – указать путь к ключевому файлу. Параметр необходим в том случае, если ключевой файл находится не в той же директории, что и Консольный сканер. По умолчанию используется ключевой файл из каталога установки Антивируса.

◆/LN – сканировать файлы, на которые указывают ярлыки. По умолчанию опция отключена.

◆/LS – сканировать под учетной записью LocalSystem. По умолчанию опция отключена.

◆/MA – проверять почтовые файлы. По умолчанию опция включена.

◆/MC:<число> – установить максимальное число попыток вылечить файл. По умолчанию – без ограничений.

◆/NB – не создавать резервные копии вылеченных/удаленных файлов. По умолчанию опция отключена.

◆/NI[:X] – уровень использования ресурсов системы, в процентах. Определяет количество памяти используемой для сканирования и системный приоритет задачи сканирования. По умолчанию – без ограничений.

◆/NT – сканировать NTFS-потоки. По умолчанию опция включена.

◆/OK – выводить полный список сканируемых объектов, сопровождая незараженные пометкой Ok. По умолчанию опция отключена.

◆/P:<приоритет> – приоритет запущенной задачи сканирования в общей очереди задач на сканирование:

◆/PAL:<число> – уровень вложенности упаковщиков. По умолчанию – 1000.

◆/RA:<имя файла> – дописать отчет о работе программы в указанный файл. По умолчанию – отчет не создается.

◆/RP:<имя файла> – записать отчет о работе программы в указанный файл. По умолчанию – отчет не создается.

◆/RPC:<число> – таймаут соединения c Scanning Engine, в секундах. По умолчанию – 30 секунд.

◆/RPCD – использовать динамический идентификатор RPC.

◆/RPCE – использовать динамический целевой адрес RPC.

◆/RPCE:<целевой_адрес> – использовать указанный целевой адрес RPC.

◆/RPCH:<имя_хоста> – использовать указанное имя хоста для вызовов RPC.

◆/RPCP:<протокол> – использовать указанный протокол RPC. Возможно использование протоколов: lpc, np, tcp.

◆/QL – вывести список всех файлов, помещенных в Карантин на всех дисках.

◆/QL:<имя_логического_диска> – вывести список всех файлов, помещенных в Каранатин на указанном логическом диске.

◆/QR[:[d][:p]] – удалить файлы с указанного диска <d> (имя_логического_диска), находящиеся в Карантине дольше <p> (количество) дней. Если <d> и <p> не указаны, то будут удалены все файлы, находящиеся в Карантине, со всех логических дисков.

◆/REP – сканировать по символьным ссылкам. По умолчанию опция отключена.

◆/SCC – выводить содержимое составных объектов. По умолчанию опция отключена.

◆/SCN – выводить название контейнера. По умолчанию опция отключена.

◆/SPN – выводить название упаковщика. По умолчанию опция отключена.

◆/SLS – выводить логи на экран. По умолчанию опция включена.

◆/SPS – отображать процесс проведения сканирования. По умолчанию опция включена.

◆/SST – выводить время сканирования файла. По умолчанию опция отключена.

◆/TB – выполнять проверку загрузочных секторов и главных загрузочных секторов (MBR) жесткого диска. По умолчанию опция отключена.

◆/TM – выполнять поиск вирусов в оперативной памяти (включая системную область Windows). По умолчанию опция отключена.

◆/TS – выполнять поиск вирусов в файлах автозапуска (по папке Автозагрузка, системным ini-файлам, реестру Windows). По умолчанию опция отключена.

◆/TR – сканировать системные точки восстановления. По умолчанию опция отключена.

◆/W:<число> – максимальное время сканирования, в секундах. По умолчанию – без ограничений.

◆/X:S[:R] – по окончании сканирования перевести машину в указанный режим: выключение/перезагрузка/ждущий режим/спящий режим по причине R (для выключения/перезагрузка).

Задание действий с различными объектами (C – вылечить, Q – переместить в карантин, D – удалить, I – игнорировать, R – информировать. По умолчанию для всех – информировать):

◆/AAD:<действие> – действия для рекламных программ (возможные действия: DQIR).

◆/AAR:<действие> – действия с инфицированными архивами (возможные действия: DQIR).

◆/ACN:<действие> – действия с инфицированными контейнерами (возможные действия: DQIR).

◆/ADL:<действие> – действия с программами дозвона (возможные действия: DQIR).

◆/AHT:<действие> – действия с программами взлома (возможные действия: DQIR).

◆/AIC:<действие> – действия с неизлечимыми файлами (возможные действия: DQR).

◆/AIN:<действие> – действия с инфицированными файлами (возможные действия: CDQR).

◆/AJK:<действие> – действия с программами-шутками (возможные действия: DQIR).

◆/AML:<действие> – действия с инфицированными почтовыми файлами (возможные действия: QIR).

◆/ARW:<действие> – действия с потенциально опасными файлами (возможные действия: DQIR).

◆/ASU:<действие> – действия с подозрительными файлами (возможные действия: DQIR).

Некоторые ключи могут иметь модификаторы, с помощью которых режим явно включается либо отключается. Например:

/AC- режим явно отключается,
/AC, /AC+ режим явно включается.

Такая возможность может быть полезна в случае, если режим включен/отключен по умолчанию или по выполненным ранее установкам в конфигурационном файле. Список ключей, допускающих применение модификаторов: /AR, /AC, /AFS, /BI, /DR, /HA, /LN, /LS, /MA, /NB, /NT, /OK, /QNA, /REP, /SCC, /SCN, /SPN, /SLS, /SPS, /SST, /TB, /TM, /TS, /TR, /WCL.

Для ключа /FL модификатор "-" означает: проверить пути, перечисленные в указанном файле, и удалить этот файл.

Для ключей /ARC, /ARL, /ARS, /ART, /ARX, /NI[:X], /PAL, /RPC, /W, принимающих в качестве значения параметра <число>, "0" означает, что параметр используется без ограничений.

Пример использования ключей при запуске Консольного сканера DWScancl:

проверить все файлы, за исключением архивов, на диске C, инфицированные файлы лечить, неизлечимые поместить в Карантин.