Manuálová stránka ZONER Antivirus – zavcli
JMÉNO
zavcli – rozhraní pro Zoner AntiVirus v příkazové řádce
POUŽITÍ
zavcli [MOŽNOSTI] SOUBOR…
POPIS
Zavcli je klientský program v příkazové řádce pro Zoner AntiVirus démona (ZAVd). Všechny SOUBORy budou oskenovány a výsledky se zapíší na standardní výstup.
ZÁKLADNÍ MOŽNOSTI
- -v, –version
- zobrazí verzi zavcli a skončí
- -V, –version-zavd
- zobrazí verzi ZAVd a skončí
- -h, –help
- zobrazí tuto nápovědu a skončí
- -n, –no-recurse
- neprocházet adresáře rekurzivně
MOŽNOSTI SKENOVÁNÍ
Tyto možnosti se použijí namísto výchozích hodnot v konfiguračním souboru ZAVd:
- –(no-)scan-full
- skenovat až do nalezení infekce
- –(no-)scan-heuristics
- provést heuristickou analýzu (může detekovat zatím neznámé viry)
- –(no-)scan-emulation
- kontrolovat binárky pomocí PE emulátoru
- –(no-)scan-archives
- rozbalit archivy a zkontrolovat jejich obsah
- –(no-)scan-packers
- rozbalit soubory pakované runtime-packery (např. UPX)
- –(no-)scan-gdl
- kontrolovat pomocí Generic Detection Language
- –(no-)scan-phishing
- povolit heuristickou detekci phishingu
- –(no-)scan-deep
- skenovat celý soubor (nejen prvních pár MB)
- –scan-maxsize=SIZE
- maximální velikost pro rozbalení archivu
- –scan-maxfiles=NUM
- maximální počet souborů rozbalených z archivu
- –scan-recursion=NUM
- maximální zanoření pro archivy (např. EXE v UPX v ZIP v RAR v …)
- –scan-timeout=TIME
- přerušit sken po TIME sekundách a vrátit částečné výsledky (hodnota je omezena stropem v konfiguraci ZAVd)
- –scan-level=LEVEL
- důkladnost skenování: fastest, normal, advanced nebo brute
- –scan-dev
- nepřeskakovat /dev adresář (nedoporučováno)
- –scan-proc
- nepřeskakovat /proc adresář (nedoporučováno)
- –scan-sys
- nepřeskakovat /sys adresář (nedoporučováno)
MOŽNOSTI VÝKONU
- -t, –threads=NUM
- skenovat v NUM vláknech (rychlejší, pokud ZAVd používá více než jeden skenovací proces)
- -w, –timeout=TIME
- timeout pro komunikaci se ZAVd (včetně komunikace po socketech a čekání ve frontě)
MOŽNOSTI VÝSTUPU
- -q, –quiet
- tichý výstup (zobrazí pouze chybová hlášení)
- -s, –stats
- po skončení skenu zobrazí celkové statistiky (počet čistých souborů, infikovaných souborů, chyb apod.)
- -i, –scan-info
- zobrazí dobu skenování a velikost skenovaného souboru (např. ” 0.000.123 12345 /tmp/file”)
- –tree
- zobrazí také jména souborů uvnitř archivu
- –color
- barevný výstup do terminálu
- –show=RESTYPES
- zobrazí pouze RESTYPES výsledky, ostatní potlačí
- –no-show=RESTYPES
- potlačí zobrazení RESTYPES výsledků, ostatní zobrazí
- Možné RESTYPES:
- clean – soubory bez infekce
infected – nalezen projev malware
probinfected – nejspíše infikovaný soubor (nalezen projev malware, který není 100%)
suspicious – podezřelý soubor (binárka s podezřelými projevy nebo phishing)
nonstandard – soubor který není přímo podezřelý, ale má projevy, které nejsou normální
unknown – soubor s neznámým typem infekce, jedná se o staré ZAVd/ZAVCli komunikující s novým ZAVCore
scanerror – soubor, který způsobil chybu skenování
timeout – soubory, u kterých se přesáhl časový limit pro sken
all – všechny výše uvedené soubory
MOŽNOSTI FILTROVÁNÍ
- –no-symlinks
- nenásledovat symlinky
- –no-mounts
- nenásledovat přípojná místa disků (neměnit zařízení, které bylo dáno parametrem SOUBOR)
- –maxsize=SIZE
- neskenovat soubory větší než SIZE (výchozí: bez limitu), může být doplněno jednotkou: ‘B’, ‘k’, ‘M’ nebo ‘G’
- –minsize=SIZE
- neskenovat soubory menší než SIZE (výchozí: 0), může být doplněno jednotkou: ‘B’, ‘k’, ‘M’ nebo ‘G’
POKROČILÉ MOŽNOSTI
- -c, –config-dir=DIR
- cesta ke konfiguračním souborům ZAVd, používá se ke zjištění vhodného počtu vláken a socketu k ZAVd, bez tohoto parametru zavcli zkusí ‘/etc/zav’ a ‘~/.zav’
- -z, –zavd-socket=FILE
- cesta k ZAVd socketu, která je nutná pro oskenování souborů; tuto možnost použijte namísto -c voláte-li zavcli externě, odpadá pak nutnost parsování konfigurace (urychlení)
- –conn-retries=N
- nejde-li se spojit se ZAVd, opakovat N krát
- –conn-interval=TIME
- nejde-li se spojit se ZAVd, opakovat po TIME sekundách
- –remove=RESTYPES
- smazat soubory s RESTYPES RESTYPES po oskenování (používejte opatrně)
- –copy=OPTS
- kopírovat soubory po oskenování, OPTS jsou RESTYPE=DIR
PŘÍKLADY
Oskenuje adresář ‘/bin’ a soubor ‘/tmp/test’:
- zavcli /bin /tmp/test
Oskenuje adresář ‘/tmp/test’, odstraní všechny infikované soubory a všechny podezřelé a nestandardní uloží:
- zavcli –remove=infected –copy=nonstandard=/tmp/nstd,suspicious=/tmp/susp /tmp/test
Oskenuje domovský adresář, použije barevný výstup a potlačí vypisování čistých a nestandardních souborů:
- zavcli –no-show=clean,nonstandard –color ~
Oskenuje všechny soubory menší než 10MB v adresáři ‘/mnt/usb’ nejrychlejší metodou a zobrazí pouze infikované soubory:
- zavcli –show=infected –scan-level=fastest –maxsize=10M /mnt/usb
NÁVRATOVÉ HODNOTY
Tyto návratové hodnoty se vztahují buďto k jednomu souboru (byl-li zadán pouze jediný) nebo určují nejvýznamější výsledek ze všech souborů, které byly skenovány.
0: – clean – všechny soubory bez infekce, nenastala žádná chyba
1: – error – zavcli selhalo (nejspíše chyba glibc nebo systémového volání)
2: – scanerror – ZAVd selhalo
11: – infected – soubor je infikován známým virem
12: – probably infected – soubor je infikován známým virem, ale detekce není 100%
13: – suspicious – soubor vypadá podezřele (binárka se chová jako virus, phishing, exploit)
14: – nonstandard – soubor má nestandardní vlástnosti, ale není přímo podezřelý
15: – unknown – soubor byl infikován neznámým typem infekce (způsobeno starou verzí ZAVd)
16: – timeout – skenování přesáhlo časový limit