Kaspersky lab ANTI-VIRUS 4.0 for Linux Server User Manual [pl]

Download

KASPERSKY LAB

Kaspersky Anti-Virus for Linux Server

PODRĘCZNIK ŻYTKOWNIKA

KASPERSKY ANTI-VIRUS FOR L I N U X S E R V E R

Podręcznik Użytkownika

Podręcznik UżytkownikaPodręcznik Użytkownika

 Kaspersky Lab Polska

Tel. (34) 368 18 14 • Fax. (34) 368 18 15

http://www.kaspersky.pl

Marzec 2002

1111

Spis treści

KASPERSKYTM ANTI-VIRUS FOR LINUX SERVER ......................10

1.1.

1.2.

1.3.

1.4.

1.5.

2.1.

2.2.

2.3.

2.4.

Wstęp ........................................................................................ 10

Pakiet dystrybucyjny................................................................. 12

1.2.1. Elementy pakietu dystrybucyjnego .................................... 12

1.2.2. Umowa Licencyjna.............................................................. 12

1.2.3. Karta rejestracyjna ..............................................................13

Pomoc techniczna ....................................................................13

Informacje zawarte w tym podręczniku................................... 14

Symbole użyte w dokumentacji ............................................... 14

INSTALACJA KASPERSKY ANTI-VIRUS FOR LINUX .................16

Wymagania systemowe ........................................................... 16

Tworzenie kopii zapasowej dyskietek ..................................... 17

Instalacja krok po kroku............................................................ 17

2.3.1. … z użyciem narzędzia instalacyjnego.............................. 17

2.3.2. … bez pomocy narzędzia instalującego............................ 18

Przygotowanie do uruchomienia ............................................. 19

2.4.1. Redagowanie pliku .ini........................................................ 19

2.4.2. Redagowanie ścieżki dostępu do plików tymczasowych . 21

2.4.3. Dostosowywanie oprogramowania do indywidualnych

potrzeb................................................................................. 21

URUCHAMIANIE KASPERSKY ANTI-VIRUS FOR LINUX ...........22

3.1.

3.2.

3.3.

4.1.

4.2.

Modyfikowanie ustawień testowania ....................................... 22

Uruchamianie testu .................................................................. 23

Uruchamianie uaktualniania antywirusowych baz danych..... 25

PROGRAM SCANNER: TESTOWANIE I LECZENIE..................... 26

Uruchamianie programu Scanner ...........................................26

Wyszukiwanie i usuwanie wirusów.......................................... 28

2222

SPIS TREŚ CI

4.2.1. Ładowanie skanera antywirusowego ................................ 28

4.2.2. Obsługa zainfekowanych obiektów ................................... 29

4.2.3. Obsługa uszkodzonych obiektów ...................................... 31

4.2.4. Obsługa podejrzanych obiektów........................................ 32

4.3.

5.1.

5.2.

5.3.

5.4.

Przeglądanie statystyk dotyczących wydajności ....................33

SCANNER ORAZ DAEMON: KORZYSTANIE Z PRZEŁĄCZNIKÓW

ORAZ PROFILI ...................................................................................35

Ustawienia testowania ............................................................. 35

Jak zmieniać ustawienia? ........................................................ 36

Konfigurowanie lokalizacji obiektów przeznaczonych do

testowania................................................................................. 37

5.3.1. Definiowanie lokalizacji obiektów przeznaczonych do

testowania ...........................................................................37

5.3.2. Definiowanie obiektów przeznaczonych do testowania ... 39

5.3.2.1.

5.3.2.2.

5.3.2.3.

5.3.2.4.

5.3.2.5.

5.3.2.6.

5.3.2.7.

5.3.3. Definiowanie reakcji na wystąpienie zainfekowanych,

5.3.4. Definiowanie wykorzystania zaawansowanych narzędzi

5.4.1. Ustawienia łączne ............................................................... 51

5.4.2. Definiowanie ustawień testu oraz działania: Scanner oraz

5.4.3. Definiowanie reakcji na wystąpienie zainfekowanych i

Typy obiektów

Sektory Pliki

................................................................................... 40

Spakowane pliki uruchamialne Archiwa

Pocztowe bazy danych oraz pocztowe formaty tekstowe

Osadzone obiekty OLE

podejrzanych oraz uszkodzonych obiektów...................... 46

testujących .......................................................................... 48

Ustawienia łączne lokalizacji obiektów przeznaczonych do

testowania................................................................................. 51

Daemon............................................................................... 51

podejrzanych obiektów ....................................................... 56

................................................................ 39

............................................................................. 39

................................... 42

............................................................................ 43

.......................................................................... 44

................................................ 45

3333

SPIS TREŚ CI

5.4.4. Definiowanie ustawień raportu ........................................... 58

PROCES DAEMON: INTEGROWANIE OCHRONY

ANTYWIRUSOWEJ Z KLIENTAMI................................................... 61

6.1.

6.2.

6.3.

7.1.

7.2.

7.3.

7.4.

7.5.

7.6.

7.7.

Cechy programu Daemon........................................................ 61

Uruchamianie procesu Daemon.............................................. 62

Wywoływanie procesu z programu klienckiego...................... 65

KEEPER: WYKRYWANIE I USUWANIE WIRUSÓW W SYSTEMACH POCZTOWYCH: SENDMAIL, QMAIL, POSTFIX

ORAZ EXIM......................................................................................... 68

Cechy programu Keeper.......................................................... 68

Integrowanie Kaspersky Anti-Virus for Linux z sendmail ....... 70

Integrowanie Kaspersky Anti-Virus for Linux z qmail ............. 72

Integrowanie Kaspersky Anti-Virus for Linux z Postfix ........... 73

Integrowanie Kaspersky Anti-Virus for Linux z Exim.............. 75

Konfigurowanie programu Keeper .......................................... 77

7.6.1. Wprowadzenie ....................................................................77

7.6.2. Przetwarzania zainfekowanych wiadomości dla grupy

adresów............................................................................... 79

7.6.2.1.

7.6.2.2.

7.6.2.3.

7.6.2.4.

7.6.2.5.

7.6.2.6.

7.6.2.7.

7.6.3. Definiowanie atrybutów powiadomienia ............................ 91

7.6.4. Log....................................................................................... 91

7.6.5. Komunikacja pomiędzy programem Keeper a procesem

Informacje podstawowe Grupy adresów i adresy To/From Sprawdzać albo nie sprawdzać... Definiowanie przetwarzania wiadomości po procesie

testowania Filtrowanie poczty ze względu na dołączone pliki Dostarczanie zainfekowanych wiadomości do

administratora Powiadamianie nadawcy

demona ............................................................................... 92

Uruchamianie programu Keeper ............................................. 92

....................................................................... 83

................................................................. 89

............................................... 79

.............................. 81

.............................. 82

............................................. 90

.. 88

4444

SPIS TREŚ CI

ANTI-VIRUS MONITOR: ANTYWIRUSOWE MONITOROWANIE

SYSTEMU............................................................................................ 94

8.1.

8.2.

8.3.

8.4.

8.5.

9.1.

9.2.

9.3.

10. TUNER: KONFIGUROWANIE PROGRAMÓW SCANNER I

10.1.

10.2.

10.3.

10.4.

10.5.

10.6.

Możliwości i funkcje.................................................................. 94

Kompilacja i konfiguracja ......................................................... 95

8.2.1. Kompilacja programu Monitor ............................................ 95

8.2.2. Konfigurowanie programu Monitor..................................... 97

Uruchamianie programu Monitor ........................................... 100

Przeglądanie rezultatów działania ......................................... 101

Problemy i ich rozwiązywanie................................................ 101

SLOGAN: PRZETWARZANIE I SUMOWANIE RAPORTÓW ..... 104

Możliwości i funkcje................................................................ 104

Uruchamianie programu Slogan............................................ 105

Slogan w trybie monitorowania w czasie rzeczywistym ....... 107

DAEMON ........................................................................................... 110

Możliwości i funkcje................................................................ 110

Uruchamianie programu Tuner ............................................. 111

Interfejs.................................................................................... 112

Tworzenie, edytowanie i zapisywanie profilu ........................ 113

Strona Location....................................................................... 115

10.5.1. Definiowanie lokalizacji przeznaczonej do testowania ... 115

10.5.2. Definiowanie ustawień skanowania dla pojedynczego

katalogu ............................................................................. 117

10.5.2.1.

10.5.2.2.

10.5.2.3.

10.5.2.4.

Okno Property katalogu: wybieranie wymaganego katalogu

Okno Property katalogu: obiekty przeznaczone do testowania

Okno Property katalogu: definiowanie akcji antywirusowych

Okno Property katalogu: definiowanie użycie zaawansowanych narzędzi skanowania. Options.

Strona Options........................................................................ 123

......................................................................... 117

..................................................................... 118

........................................................... 121

Strona

......................................................................... 122

5555

SPIS TREŚ CI

10.7. St r o n a Report ...................................................................... 126

10.8.

10.9.

11. WEBTUNER: ZDALNA ADMINISTRACJA PROGRAMEM......... 133

11.1.

11.2.

11.3.

11.4.

11.5.

11.6.

11.7.

11.8.

Strona ActionWith................................................................... 129

Strona Customize ................................................................... 130

Cechy i funkcje ....................................................................... 133

Ogólny opis działania programu............................................ 134

Instalacja programu WebTuner: prawa dostępu .................. 136

11.3.1. Komponenty programu WebTuner .................................. 136

11.3.2. Konfigurowanie serwera www oraz programu WebTuner

........................................................................................... 137

11.3.3. Prawa serwera www......................................................... 140

11.3.3.1.

11.3.3.2.

11.6.1. Ustawienia programu WebTuner..................................... 145

11.6.2. Strona main: parametry działania programu WebTuner 147

11.6.3. Strona modules: ustawienia zdalnej administracji ..........148

11.7.1. Ustawienia programu Daemon ........................................152

11.7.2. Zdalna konfiguracja programu Daemon.......................... 154

11.7.2.1.

11.7.2.2.

11.7.2.3.

11.7.2.4.

11.7.2.5.

11.7.2.6.

11.7.3. Zdalne uruchamianie programu Daemon ....................... 160

11.7.4. Przeglądanie pliku raportu................................................ 164

Prawa uruchamiania serwera www Prawa uruchamiania programu WebTuner

Uruchamianie WebTuner ....................................................... 142

Interfejs.................................................................................... 143

Definiowanie konfiguracji programu WebTuner.................... 145

WebTuner: administracja programem Daemon ...................152

Okno Profile tuning Strona objects: lokalizacja do skanowania Strona options: ustawienia skanowania Strona actions: sposób obsługi obiektów Strona report: ustawienia raportowania

Strona customs: zaawansowane ustawienia skanowania

WebTuner: administrowanie programem Scanner .............. 167

...................................................... 154

................................................................... 159

......................... 140

........... 141

............ 155

................. 157

............... 158

.................. 159

6666

SPIS TREŚ CI

11.8.1. Ustawienia programu Scanner......................................... 167

11.8.2. Scanner settings ...............................................................167

11.8.3. Zdalna konfiguracja programu Scanner ..........................169

11.8.4. Zdalne uruchamianie programu Scanner........................ 170

11.8.5. Przeglądanie pliku raportu................................................ 171

11.9.

11.10. WebTuner: administrowanie programem Keeper ................ 176

WebTuner: administrowanie programem Updater ...............172

11.10.1. Ustawienia programu Keeper .......................................... 176

11.10.2. Strona main: ustawienia identyfikacji i komunikacji z

programem Daemon ........................................................ 178

11.10.3. Definiowanie reguł przetwarzania dla pojedynczej grupy181

11.10.3.1. Strona groups: definiowanie grupy

11.10.3.2. Strona masks okna Group: definiowanie nadawców i odbiorców grupy

11.10.3.3. Strona filters okna Group: definiowanie filtru

11.10.3.4. Strona administrator okna Group: powiadomienia dla administratora. Izolowanie zainfekowanych obiektów

......................................................................................... 187

11.10.3.5. Strona sender okna Group: powiadomienia dla nadawcy

11.10.3.6. Strona recipient okna Group: wiadomości dla odbiorców grupy

11.10.4. Strona users: lista legalnych użytkowników ....................195

11.10.5. Strona log: dane przeznaczone do raportowania ........... 196

11.10.6. Strona report: definiowanie zawartości powiadomień .... 198

11.10.6.1. Lista powiadamianych użytkowników

11.10.6.2. Powiadomienia dla administratora

11.10.6.3. Powiadomienia dla nadawcy

11.10.6.4. Powiadomienia dla odbiorcy

11.10.7. Strona restricts: ograniczenia dla programu Keeper..... 201

........................................................................ 190

.......................................................... 184

......................................... 192

.......................... 181

........ 185

..................... 198

.......................... 199

.................................... 201

..................................... 201

12. UPDATER: UAKTUALNIANIE BAZ DEFINICJI WIRUSÓW........ 204

12.1.

12.2.

Właściwości i funkcje.............................................................. 204

Uruchamianie programu Updater .......................................... 205

7777

SPIS TREŚ CI

12.3.

12.4.

13. INSPECTOR: MONITOROWANIE INTEGRALNOŚCI SYSTEMU

13.1.

13.2.

14. CONTROL CENTRE: PLANOWANIE DZIAŁANIA KASPERSKY

14.1.

14.2.

14.3.

14.4.

Jak uaktualniać bazy antywirusowe? ....................................206

12.3.1. Uaktualnianie przez Internet............................................. 206

12.3.2. Uaktualnianie z katalogu sieciowego............................... 207

12.3.3. Uaktualnianie z archiwum ................................................ 207

Zapisywanie raportu do pliku .................................................208

PLIKÓW............................................................................................. 210

Cechy i funkcje ....................................................................... 210

Uruchamianie programu Inspector ........................................ 211

13.2.1. Wiersz poleceń programu ................................................211

13.2.2. Definiowanie lokalizacji do sprawdzania ......................... 212

13.2.3. Obsługa nowych i zmodyfikowanych plików ................... 214

13.2.4. Zapisywanie raportu z działania programu...................... 216

ANTI-VIRUS FOR LINUX................................................................. 217

Cechy i funkcje ....................................................................... 217

Uruchamianie Control Centre ................................................217

Planowanie działania zadań komponentów pakietu............. 218

Zapisywanie raportu z działania programu ........................... 222

15. DODATEK A. GŁÓWNE PLIKI.......................................................224

16. DODATEK B. UZUPEŁNIAJĄCE SZCZEGÓŁY O KASPERSKY

ANTI-VIRUS FOR LINUX................................................................. 225

16.1.

16.2.

16.3.

16.4.

16.5.

16.6.

16.7.

16.8.

16.9.

Pliki z ustawieniami programu ............................................... 225

Scanner i Daemon: plik inicjalizacyjny (AvpUnix.ini) ............225

Scanner oraz Daemon: profil (defUnix.prf) ........................... 227

Scanner oraz Daemon: przełączniki linii poleceń ................. 238

Scanner oraz Daemon: zgłaszane komunikaty .................... 244

Scanner oraz Daemon: kody wyjścia.................................... 245

Slogan: szablony raportów..................................................... 247

Inspector: przełączniki linii poleceń ....................................... 250

Control Centre: przełączniki linii poleceń .............................. 253

8888

SPIS TREŚ CI

16.10. Monitor: plik konfiguracyjny (monitor.conf)............................ 257

16.11. Updater: przełączniki wiersza poleceń .................................. 259

16.12. Installer: przełączniki linii poleceń.......................................... 262

16.13. Keeper for sendmail: plik konfiguracyjny (kaspersky-av.mc)263

16.14. Keeper for Postfix: plik konfiguracyjny (master.cf)................ 264

16.15. WebTuner: plik konfiguracyjny (loader.cfg)........................... 265

17. DODATEK C. KASPERSKY LAB.................................................. 269

17.1.

Jak się z nami skontaktować? ............................................... 269

9999

Uwaga! Nowe wirus

pojawiają się codziennie, dlatego w celu zabezpieczenia systemu należy uaktualniać bazy antywirusowe codziennie (patrz poniżej). Należy także pamiętać o uaktualnieniu baz natychmiast po zainstalowaniu programu!

1. Kaspersky

Kaspersky

1.1.

KasperskyKaspersky Linux Server

Linux Server

Linux ServerLinux Server

TMTM

Anti

Anti----Virus for

Anti Anti

Virus for

Virus for Virus for

Rozdział

1.1. Wstęp

Czym jest Kaspersky Anti-Virus for Linux?

Kaspersky Anti-Virus for Linux Server (Kaspersky Anti-Virus for Linux) jest kompletnym systemem ochrony antywirusowej dla komputerów pracujących pod kontrolą systemu operacyjnego Linux. Umożliwia wykrywanie i usuwanie wszystkich obecnie znanych typów wirusów oraz niebezpiecznego oprogramowania, włączając:

• wirusy polimorficzne i szyfrujące się;

• wirusy ukrywające się i niewidzialne;

wirusy dla Windows 9x, Windows NT, UNIX, OS/2;

•

nowe wirusy dla apletów Java;

•

• makrowirusy infekujące dokumenty Word, arkusze programu

Excel, prezentacje PowerPoint, pliki pomocy itd.;

• robaki sieciowe;

• konie trojańskie.

1010

Pakiet zawiera zestaw aplikacji oraz narzędzi antywirusowych.

WSTĘ P

Program kavscanner (skaner antywirusowy) umożliwia, na żądanie użytkownika, testowanie systemu pod kątem obecności wirusów

Proces antywirusowy kavdaemon (demon antywirusowy) umożliwia integrację procesów testowania z programami użytkownika.

Monitor antywirusowy kavmonitor (Monitor) monitoruje pliki otwierane i uruchamiane w systemie Linux pod kątem obecności wirusów.

Program slogan umożliwia przetwarzanie i podsumowywanie danych zawartych w raportach generowanych przez programy Scanner oraz Daemon.

Kavupdater umożliwia uaktualnianie antywirusowych baz danych, które są wykorzystywane przez inne składniki podczas testowania systemu na obecność wirusów.

!"Podczas testowania w poszukiwaniu wirusów Kaspersky Anti-Virus

for Linux korzysta z antywirusowych baz danych, zawierających

informacje umożliwiające wykrywanie i usuwanie wielu wirusów. Kaspersky Lab codziennie publikuje uaktualnienia antywirusowych baz danych.

W skład pakietu wchodzi także specjalny program konfigurujący kavtuner, który umożliwia zmianę ustawień ochrony antywirusowej skanera i demona antywirusowego.

Korzystając z programu kavinspector (inspektor) można kontrolować system plików. Pozwala on na monitorowanie zmian w strukturze pliku oraz poszukiwanie wirusów w plikach z uwzględnieniem metod wnikania wirusów do plików.

WebTuner umożliwia zdalne zarządzanie pakietem Kaspersky Anti-Virus for Linux.

Serwerowe wersje produktu zawierają również programy: kavkeeper for

sendmail, kavkeeper for qmail, kavkeeper for Postfix oraz kavkeeper for Exim — umożliwiające testowanie poczty elektronicznej w poszukiwaniu

Jeżeli dyski sieciowe innego komputera zostały zamontowane w systemie plików użytkownika, pliki z tych dysków również będą testowane. Proces testowania systemu plików oznacza testowanie wszystkich zamontowanych systemów plików.

1111

WSTĘ P

wirusów. Mogą one być zintegrowane z następującymi systemami pocztowymi: sendmail, qmail, Postfix oraz Exim.

Działanie wszystkich komponentów Kaspersky Anti-Virus for Linux może być koordynowane za pomocą programu kavucc (centrum sterowania), pozwalającego użytkownikowi na zaplanowanie automatycznego startu komponentów oraz wyświetlanie informacji o stopniu wykorzystania licencji i użytkownikach Kaspersky Anti-Virus for Linux

1.2. Pakiet dystrybucyjny

Co zawiera pakiet dystrybucyjny? Umowa Licencyjna. Karta rejestracyjna.

1.2.1. Elementy pakietu

dystrybucyjnego

Pakiet dystrybucyjny zawiera następujące elementy:

• zapieczętowaną kopertę z instalacyjną płytą CD (lub dyskiet-

kami) zawierającą pliki produktu;

• plik klucza;

• kartę rejestracyjną (z numerem seryjnym produktu);

• Umowę Licencyjną.

!"Przed rozpakowaniem zapieczętowanej koperty zawierającej nośnik

instalacyjny, należy uważnie przeczytać postanowienia Umowy Licencyjnej.

1.2.2. Umowa Licencyjna

Umowa Licencyjna (UL) jest legalnym porozumieniem pomiędzy użytkow- nikiem (jako osobą fizyczną lub firmą) a producentem (Kaspersky Lab Ltd.) opisującą warunki zakupu i użytkowania produktu antywirusowego.

1212

WSTĘ P

Nie należy otwierać zapieczętowanej koperty przed zapoznaniem się z postanowieniami Umowy Licencyjnej!

Jeżeli użytkownik nie zgadza się z postanowieniami Umowy Licencyjnej, może on zwrócić produkt dystrybutorowi i uzyskać pełny zwrot poniesionych kosztów. Należy jednak upewnić się, że koperta zawierająca nośnik instalacyjny nie została naruszona.

Odpieczętowanie koperty oznacza zaakceptowanie warunków Umowy Licencyjnej.

1.2.3. Karta rejestracyjna

Aby zostać zarejestrowanym użytkownikiem, należy wypełnić kartę reje- stracyjną i wysłać ją do przedstawiciela Kaspersky Lab w Polsce.

W przypadku zmiany adresu korespondencji/e-mail lub numeru telefonu, należy powiadomić przedstawiciela, do którego została wysłana karta rejestracyjna.

Użytkownik rejestrując się uzyskuje status zarejestrowanego użytkownika Kaspersky Anti-Virus for Linux, oraz otrzymuje wsparcie techniczne i uaktualnienia antywirusowych baz danych przez okres trwania subskrypcji.

1.3. Pomoc techniczna

Usługi świadczone zarejestrowanym użytkownikom.

Kaspersky Lab oferuje szeroki pakiet usług dla zarejestrowanych użytkow- ników pakietu Kaspersky Anti-Virus.

Użytkownik, który zarejestrował się i wykupił subskrypcję będzie mógł ko- rzystać z poniższych usług przez cały okres ważności umowy licencyjnej:

• codzienne uaktualnienia antywirusowych baz danych;

• powiadomienia o nowych wersjach produktów;

1313

WSTĘ P

• doradztwo związane z instalacją, konfiguracją oraz działaniem

oprogramowania za pośrednictwem telefonu oraz poczty elektronicznej;

• powiadamianie o pojawieniu się informacji na temat nowych pro-

duktów z linii Kaspersky Anti-Virus lub o pojawieniu się nowych wirusów na świecie (dla użytkowników zapisanych na listę mailingową Kaspersky Lab)

Kaspersky Lab nie udostępnia informacji na temat działania i użytkowania systemów operacyjnych.

1.4. Informacje zawarte w tym

podręczniku

Co zostało opisane w tym podręczniku i czego on nie zawiera?

1.5. Symbole użyte w

dokumentacji

Konwencje przyjęte w tym podręczniku.

Tekst dokumentacji został różnie sformatowany w zależności od jego znaczenia.

Konwencja Znaczenie

Pogrubiona czcionka

Nazwy menu oraz jego polecenia, tytuły oraz elementy okien dialogowych, etc.

1414

WSTĘ P

Konwencja Znaczenie

!"Notatka. Dodatkowe informacje, notatki

Uwaga!

Aby wykonać działanie: …

1. Krok 1.

2. …

• Nazwa elementu

kontrolnego—funkcja

elementu kontrolnego.

[przełącznik]—opis funkcji przełącz- nika.

Tekst wprowadzony przez użytkownika

Tekst informacyjny

Bardzo ważna informacja

Sekwencja działań wykonywanych przez użytkownika

Opis drzewa ustawień

Przełączniki wiersza poleceń

Tekst, który powinien zostać wprowadzony przez użytkownika w linii poleceń.

Tekst plików konfiguracyjnych oraz wiadomości informacyjnych programu.

1515

Rozdział

2. Instalacja Kaspersky Anti

Instalacja Kaspersky Anti----

2.2.

Instalacja Kaspersky AntiInstalacja Kaspersky Anti Virus for Linux

Virus for Linux

Virus for Linux Virus for Linux

2.1. Wymagania systemowe

Wymagania sprzętowe i systemowe.

Aby uruchomić program Kaspersky Anti-Virus for Linux muszą zostać spełnione następujące wymagania systemowe:

• procesor Intel Pentium (lub kompatybilny), minimum 64 MB pa-

mięci RAM;

• system operacyjny Linux;

• biblioteka libnss_compat.so.1;

• jądro w wersji 2.2.x lub 2.4.x.

Jądra systemowe w wersjach 2.0.x i wcześniejszych nie są obsługiwane!

1616

INSTALACJA

2.2. Tworzenie kopii zapasowej

dyskietek

Jeżeli pakiet Kaspersky Anti-Virus for Linux dostarczony został na dyskietkach instalacyjnych (nie na płycie CD), przed rozpoczęciem instalacji programu zalecane jest utworzenie kopii tych dyskietek. W przypadku uszkodzenia dyskietek podczas instalacji możliwe będzie ich odtworzenie z kopii zapasowych.

2.3. Instalacja krok po kroku

2.3.1. … z użyciem narzędzia

instalacyjnego

Aby zainstalować Kaspersky Anti-Virus for Linux przy pomocy narzędzia instalującego należy wykonać następujące kroki:

1. Skopiować archiwum z nośnika instalacyjnego na dysk twardy

komputera.

2. Rozpakować archiwum przy pomocy polecenia tar zxvf <nazwa archiwum>. Z archiwum zostaną rozpakowane nastę- pujące pliki: narzędzie instalujące oraz archiwa zawierające pliki produktu.

3. Uruchomić narzędzie instalujące: ./kavinstaller.

4. Jeżeli na ekranie pojawi się pytanie Search in current

directory_name?, należy wcisnąć klawisz <Y>, a następnie klawisz <Enter>. Na ekranie pojawi się następujący komunikat:

In package <ścieżka> found <nazwa> version

<numer_wersji > <numer_kompilacji>

gdzie:

1717

INSTALACJA

<ścieżka>

5. Jeżeli pojawi się pytanie klawisz

Kaspersky Anti-Virus for Linux

spróbuje uruchomić skaner antywirusowy.

Jeżeli z pewnych powodów uruchomienie instalatora nie było moż- liwe, należy rozpakować archiwa, utworzyć katalog dla programu antywirusowego i skopiować do niego zawartość archiwum (patrz podrozdział 2.3.2). Podczas wykonywania tych czynności należy zignorować komunikat systemu informujący o uszkodzeniu archiwum (system wyświetli ten komunikat, ponieważ archiwum jest podpisane cyfrowo).

ścieżka dostępu do archiwum;

nazwa znalezionego oprogramowania;

numer wersji;

numer seryjny kompilacji programu.

Do you want to install it?,

<Y>

. Po wykonaniu tych czynności instalator zainstaluje

na komputerze, a następnie

należy wcisnąć

2.3.2. … bez pomocy narzędzia instalującego

Aby skopiować pliki pakietu Kaspersky Anti-Virus for Linux na dysk komputera należy wykonać następujące czynności:

1. Wybrać katalog systemu plików, w którym ma być

zainstalowany

2. W wybranym katalogu utworzyć podkatalog dla programu antywirusowego (przykładowo,

3. Umieścić w napędzie pierwszą dyskietkę instalacyjną lub jej kopię.

4. Zamontować napęd dyskietek w systemie plików.

5. Skopiować wszystkie pliki zapisane na dyskietce do wybranego katalogu.

Kaspersky Anti-Virus for Linux

/opt/AVP lub /usr/lib/AVP

1818

INSTALACJA

6. Jeżeli antywirusowe bazy danych mają być przechowywane w oddzielnym katalogu, należy wybrać katalog i utworzyć w nim odpowiedni podkatalog (przykładowo, /opt/AVP/BASES lub /usr/lib/AVP/BASES).

7. Umieścić w napędzie drugą dyskietkę instalacyjną i zamontować napęd w systemie plików.

8. Skopiować wszystkie pliki zapisane na dyskietce do utworzonego katalogu (katalog wspólny lub przeznaczony dla antywirusowych baz danych).

9. Powtórzyć kroki 7 i 8 dla pozostałych dyskietek instalacyjnych.

10. Podać ścieżkę dostępu do antywirusowych baz danych w parametrze BasePath znajdującym się w pliku AvpUnix.ini.

!"Aby zainstalowane programy mogły być uruchamiane z dowolnego

katalogu, należy utworzyć odpowiednie łącza w katalogu /usr/bin lub /usr/local/bin.

!"Lista plików programu oraz realizowanych przez nie funkcji znajduje

się w Dodatku A.

2.4. Przygotowanie do uruchomienia

Jak zredagować plik .ini oraz ścieżkę dostępu do katalogu zawierającego pliki tymczasowe? Dostosowywanie oprogramowania do różnych potrzeb.

2.4.1. Redagowanie pliku .ini

Plik inicjacyjny AvpUnix.ini zawiera informacje niezbędne do poprawnej pracy pakietu. Może on znajdować się w jednym z poniższych katalogów:

1919

INSTALACJA

~/.AVP

(katalog użytkownika. Na przykład,

/home/user1/.AVP)

/opt/AVP/etc

/root/.AVP

lub

3. /etc/AVP

Podczas uruchamiania, program poszukuje pliku

AvpUnix.ini

kolejno w katalogach wymienionych powyżej. Jeżeli plik nie zostanie tam znaleziony, program rozpocznie szukanie go w bieżącym katalogu!

Jeżeli jest to wymagane, plik

AvpUnix.ini

może zostać redagowany (szcze-

gółowe informacje dotyczące pliku INI znajdują się w Dodatku В). Redagowanie pliku inicjacyjnego będzie konieczne w następujących przy-

padkach:

•

Jeżeli antywirusowe bazy danych zostały skopiowane do oddzielnego katalogu, konieczne będzie podanie odpowiedniej ścieżki dostępu w linii

BasePath

pliku

AvpUnix.ini

. Jeżeli ścieżka

ta nie zostanie podana, program nie odnajdzie antywirusowych baz danych i nie będzie wykrywał żadnych wirusów!

•

Jeżeli zmieniona została nazwa pliku .set (przykładowo, pliku ustawień antywirusowych baz danych), konieczne będzie podanie nowej nazwy w linii

SetFile

pliku

AvpUnix.ini

. Jeżeli nazwa ta nie zostanie podana, program nie załaduje antywirusowych baz danych i nie będzie wykrywał żadnych wirusów!

Podczas redagowania parametru

SetFile

należy podać tylko

nazwę pliku .set. Podawanie ścieżki dostępu do tego pliku nie jest konieczne!

•

Jeżeli pliki kluczy zostały skopiowane do oddzielnego katalogu, konieczne będzie podanie odpowiedniej ścieżki dostępu w linii

KeysPath

pliku

AvpUnix.ini

. Jeżeli ścieżka ta nie zostanie podana, wszystkie programy będą pracować w trybie demonstracyjnym (przykładowo, wykryte wirusy nie będą usuwane oraz nie będą testowane archiwa i pocztowe bazy danych).

Zaleca się podawanie bezwzględnych ścieżek dostępu do antywirusowych baz danych oraz do plików kluczy w pliku

AvpUnix.ini

2020

INSTALACJA

2.4.2. Redagowanie ścieżki dostępu

do plików tymczasowych

Jeżeli pliki tymczasowe skanera oraz procesu demona mają być tworzone w katalogu innym niż /tmp (domyślny katalog, w którym przechowywane są pliki tymczasowe), należy zdefiniować go wykonując poniższe czynności:

1. Utworzyć katalog dla plików tymczasowych, przykładowo /TEMP).

2. Dodać katalog do zmiennej środowiskowej TEMP lub TMP.

Aby zdefiniować nowy katalog dla plików tymczasowych tworzonych przez inne programy, należy zmienić ustawienia w odpowiednich plikach konfiguracyjnych tych programów.

2.4.3. Dostosowywanie oprogramowania do indywidualnych potrzeb

Jeżeli skaner oraz demon mają być uruchamiane przez różnych użytkowników z innymi, indywidualnymi ustawieniami, należy wykonać poniższe czynności:

1. Utworzyć podkatalog .AVP (przykładowo, /root/.AVP) w katalogach domowych użytkowników.

2. Skopiować do utworzonych podkatalogów plik AvpUnix.ini oraz defUnix.prf.

3. Jeżeli jest to konieczne, zmodyfikować profil (patrz Załącznik B).

Jeżeli w linii poleceń programu kavtuner lub programu kavinstaller wykorzystany zostanie przełącznik –ua=nazwa (gdzie nazwa jest nazwą użyt- kownika), programy automatycznie wykonają opisane powyżej czynności.

2121

Rozdział

3. Uruchamianie Kaspersky Anti

Uruchamianie Kaspersky Anti----

3.3.

Uruchamianie Kaspersky AntiUruchamianie Kaspersky Anti Virus for Linux

Virus for Linux

Virus for LinuxVirus for Linux

3.1. Modyfikowanie ustawień

testowania

Jak zmienić ustawienia testowania? Korzystanie z przełączników linii poleceń oraz z profili.

Aby korzystanie z funkcji programu Kaspersky Anti-Virus for Linux było możliwe, konieczne jest zdefiniowanie:

• obiektów, które będą testowane;

• sposobu traktowania tych obiektów;

• sposobu wykorzystania zaawansowanych narzędzi testujących.

Program ładuje ustawienia testowania z profilu (plik posiadający rozszerzenie .prf), który zdefiniowany jest w linii DefaultProfile pliku AvpUnix.ini. Profil może być również określony przy użyciu przełączników linii poleceń (patrz podrozdział 4.1). W celu redagowania profilu można:

2222

URUCHAMIANIE

• skorzystać z programu kavtuner (patrz rozdział 10) lub z pro- gramu WebTuner (patrz rozdział 11).

• otworzyć i zmodyfikować profil w dowolnym edytorze tekstu (patrz podrozdział 5.2).

Możliwe jest zdefiniowanie oddzielnych ustawień dla różnych zadań realizowanych przez program. Przykładowo, jeżeli program ma regularnie wykonywać test zapobiegawczy, nie jest konieczne uruchamianie zaawansowanych narzędzi testujących. Jeżeli jednak istnieje podejrzenie zainfeko- wania komputera, narzędzia te powinny zostać wykorzystane.

Na przykład:

./kavscanner –V –H- /root

Powyższa linia poleceń uruchamia skaner antywirusowy w celu przetestowania katalogu /root z wykorzystaniem dwóch zaawansowanych narzędzi testujących — testu redundancyjnego oraz analizatora heurystycznego.

W celu zdefiniowania takich ustawień w pliku defUnix.prf należy

otworzyć go w dowolnym edytorze tekstu i wprowadzić następujące linie:

Names=*/root; RedundantScan=Yes CodeAnylyser=Yes

3.2. Uruchamianie testu

Jak uruchomić testowanie komputera w poszukiwaniu wirusów? Przykłady uruchomienia skanera oraz de- mona. Monitorowanie plików. Wyszukiwanie wirusów w poczcie elektronicznej.

Test może być uruchomiony z linii poleceń lub ze skryptu. Przykładowo, linia poleceń uruchamiająca program kavscanner może wyglądać nastę- pująco:

2323

URUCHAMIANIE

./kavscanner

Po uruchomieniu, skaner automatycznie ładuje ustawienia z pliku zdefiniowanego przez parametr DefaultProfile w pliku AvpUnix.ini. Domyślną nazwą pliku profilu jest defUnix.prf. Jeżeli pakiet nie zawiera tego pliku skaner wykorzysta własne ustawienia domyślne. Ustawienia mogą być również zmieniane przy użyciu przełącznika F=nazwa_pliku_profilu w linii poleceń.

Test na obecność wirusów może być również wykonywany przy użyciu programu kavaemon. Na początku program ten może być uruchamiany tylko z linii poleceń. Później możliwe będzie wywoływanie demona przez klienta. Gdy demon uruchamiany jest po raz pierwszy, linia poleceń może wyglądać następująco:

./kavdaemon

Wykonanie powyższego polecenia spowoduje uruchomienie procesu demona i załadowanie antywirusowych baz danych do pamięci. Aby rozpocząć testowanie (przykładowo, katalogów domowych) należy wprowadzić poniższe polecenie:

./kavdaemon -o{/home}

Demon dziedziczy wszystkie funkcje skanera, jednak niektóre przełączniki linii poleceń tych programów różnią się.

Monitor jest zawsze aktywny i nieustannie testuje wszystkie uruchamiane lub otwierane obiekty (szczegółowe informacje dotyczące uruchamiania programu Monitor znajdują się w podrozdziale 8.3).

W celu wyszukiwania wirusów w wiadomościach pocztowych przetwarzanych przez systemy pocztowe sendmail, qmail, Postfix oraz Exim, należy skorzystać z odpowiedniej wersji programu Keeper: Keeper for sendmail, Keeper for qmail, Keeper for Postfix lub Keeper for Exim. Programy te dostarczane są wraz z sieciową wersją pakietu Kaspersky Anti-Virus for Linux (szczegółowe informacje dotyczące uruchamiania tych programów znajdują się w rozdziale 7).

2424

URUCHAMIANIE

3.3. Uruchamianie uaktualniania antywirusowych baz danych

Źródła uaktualnień antywirusowych baz danych. Przykład wykorzystania programu Updater.

Uaktualnienia antywirusowych bazy danych mogą być pobierane z Internetu lub dostarczane przez dystrybutorów Kaspersky Lab. Podstawowy adres uaktualniania to:

ftp://updates1.kaspersky.pl/updates.

Pełna lista dostępnych lokalizacji z udostępnianymi uaktualnieniami baz antywirusowych znajduje się pod adresem www.kaspersky.pl.

Aby ochrona komputera przed nowymi wirusami była efektywna, należy regularnie uaktualniać antywirusowe bazy danych.

Program Updater wchodzący w skład pakietu Kaspersky Anti-Virus for Linux umożliwia zautomatyzowanie procesu uaktualniania (patrz pod- rozdział 12.2).

Program Updater może być uruchomiony z poziomu linii poleceń:

./kavupdater –uik=ftp://updates1.kaspersky.pl/updates

2525

Rozdział

4. Program Scanner: testowanie

Program Scanner: testowanie

4.4.

Program Scanner: testowanie Program Scanner: testowanie i leczenie

i leczenie

i leczeniei leczenie

4.1. Uruchamianie programu Scanner

Uruchamianie programu Scanner z poziomu linii poleceń lub ze skryptu. Korzystanie z kodów wyjścia.

W celu wykonywania okresowego testu komputera na obecność wirusów, należy skorzystać z programu Scanner. Program ten może być uruchamiany z linii poleceń lub ze specjalnie przygotowanego skryptu.

Jeżeli podczas uruchamiania skaner antywirusowy nie zlokalizuje pliku klucza, to uruchomi się w trybie demonstracyjnym, tzn. wyłączone zostaną opcje poszukiwania wirusów w archiwach oraz wiadomościach pocztowych, a także wyboru akcji przez użytkownika w przypadku wykrycia wirusa.

Podczas uruchamiania programu Scanner z poziomu linii poleceń, ustawienia mogą być definiowane przy użyciu odpowiednich przełączników. Poniżej znajduje się ogólny format linii poleceń programu Scanner:

2626

SCANNER

./kavscanner [przełącznik1] [przełącznik2] [...] [przełącznikN] [ścieżka] [maski_plików]

gdzie:

[przełącznik…] jest opcjonalnym przełącznikiem wiersza poleceń, [ścieżka] jest opcjonalna ścieżką systemu Linux, [maski_plików] to opcjonalne maski plików, które będą testowane.

Domyślnie program testuje wszystkie pliki uruchamialne.

!"Przed uruchomieniem testowania możliwe jest zdefiniowanie usta-

wień programu, takich jak typ testowanych obiektów, reakcja na wystąpienie zainfekowanych obiektów, uaktywnienie zaawansowanych mechanizmów testowania itp. (patrz podrozdział 5.1). Po uruchomieniu program automatycznie ładuje ustawienia z pliku defUnix.prf. Jeżeli utworzony został nowy profil, a jego nazwę podano w linii DefaultProfile pliku AvpUnix.ini, Scanner załaduje ustawienia z no- wego profilu. Jeżeli podczas uruchamiania program Scanner nie odnajdzie żadnego profilu, wykorzystane zostaną domyślne ustawienia. Ustawienia zapisane w profilu mogą być zmodyfikowane za pomocą przełączników linii poleceń.

Jeżeli ustawienia mają być załadowane z profilu innego niż określony w pliku .ini, należy uruchomić program przy użyciu przełącznika

-F=nazwa_pliku_profilu. Lista wszystkich dostępnych przełączników wiersza

poleceń znajduje się w Dodatku B. Jeżeli program Scanner uruchamiany jest ze skryptu, możliwe jest przeglą-

danie zwróconych przez niego kodów wyjścia. Lista wszystkich kodów wyjścia wraz z przykładem ich analizy znajduje się w Dodatku B.

Scanner może być uruchomiony z dyskietki instalacyjnej. Zaleca się utworzenie odpowiednich dyskietek startowych i zapisanie na nich pakietu Kaspersky Anti-Virus for Linux wraz z antywirusowymi bazami danych (wymagane będzie kilka dyskietek). Dyskietki takie będą bardzo pomocne podczas odzyskiwania systemu po ewentualnym ataku wirusa.

!"Jeżeli dla programu Scanner zapisanego na dyskietkach startowych

zostanie utworzony profil, należy podać wartość Yes dla parametru UseMemoryFiles (szczegółowe informacje dotyczące tego parametru znajdują się w podrozdziale 5.4.2).

2727

SCANNER

4.2. Wyszukiwanie i usuwanie wirusów

Reakcje na wystąpienie zainfekowanych obiektów. Zalecenia. Komunikaty generowane przez skaner antywirusowy w przypadku usunięcia podejrzanych lub zainfekowanych obiektów oraz komunikaty dotyczące wirusa wykrytego w programie antywirusowym.

4.2.1. Ładowanie skanera

antywirusowego

Po uruchomieniu program Scanner ładuje antywirusowe bazy danych. Je- żeli operacja ta zakończy się pomyślnie, na ekranie pojawi się następujący

komunikaty:

Antiviral databases were loaded. Records: <NNNN>

gdzie <NNNN> jest liczbą rozpoznawanych wirusów.

Następnie skaner szuka wirusów we własnym kodzie (w module uruchamialnym kavscanner).

Jeżeli skaner antywirusowy zostanie zainfekowany wirusem,

zaproponuje wyleczenie modułu uruchamialnego. W tym przypadku zalecane jest usunięcie zainfekowanego programu i ponowne jego zainstalowanie. Jeżeli nie istnieje taka możliwość należy wybrać opcję disInfect. Po wyleczeniu pliku skaner antywirusowy zasugeruje swoje ponowne uruchomienie i zakończy działanie.

Jeżeli skaner antywirusowy nie jest zainfekowany,

rozpocznie poszukiwanie wirusów w obiektach zdefiniowanych przez użytkownika stosując określone wcześniej ustawienia.

2828

SCANNER

!"Jeżeli nie określono żadnych typów obiektów przeznaczonych do

testowania, na ekranie pojawi się następujący komunikat: "Nothing to scan. You should select Files and/or Sectors in the *.prf file."

Jeżeli na ekranie pojawi się taki komunikat, należy określić rodzaje obiektów przeznaczone do testowania.

!"Jeżeli nie określono żadnej lokalizacji obiektów przeznaczonych do

testowania, na ekranie pojawi się następujący komunikat: "Nothing to scan. You should select at least one directory to scan."

Jeżeli na ekranie pojawi się taki komunikat, należy określić lokalizację obiektów przeznaczonych do testowania.

4.2.2. Obsługa zainfekowanych

obiektów

W przypadku wykrycia obiektów zainfekowanych wirusem, Scanner będzie próbował je wyleczyć. Niestety leczenie nie zawsze jest możliwe (program wyświetla wtedy odpowiedni komunikat). W takim przypadku należy usunąć zainfekowany obiekt.

!"Scanner nie leczy plików uszkodzonych przez wirusy, koni trojań-

skich, plików zapisanych w archiwach oraz pocztowych baz danych i pocztowych formatów tekstowych.

Podczas pracy z zainfekowanymi i podejrzanymi obiektami

należy postępować bardzo ostrożnie. Jeżeli zainfekowane są pliki uruchamialne pod żadnym pozorem nie należy ich uruchamiać.

Jeżeli skaner antywirusowy został skonfigurowany aby umożliwić użytkownikowi wybór metody traktowania zainfekowanych obiektów,

po wykryciu takiego obiektu na ekranie pojawi się jego nazwa, nazwa wirusa oraz możliwość wyboru odpowiedniej reakcji. Poniżej znajduje się przykładowe zapytanie programu Scanner:

Actions — Report only (OK/disInfect/Delete/Cancel/Stop)

2929

SCANNER

gdzie:

• Report only— program tylko zapisze informacje o za-

infekowanym obiekcie w raporcie;

• disInfect— program spróbuje wyleczyć obiekt; wirus

zostanie usunięty; zostanie przywrócona poprawna zawartość obiektu;

• Delete— obiekt usunie obiekt;

• Cancel— program zignoruje obiekt i będzie kontynu-

ował testowanie;

• Stop— program przerwie testowanie.

Zapytanie może się różnić w zależności od metody wybranej dla po- przedniego zainfekowanego obiektu. Ogólny format zapytania programu Scanner jest następujący:

Actions — <Reakcja_1>

(OK/<Reakcja_2>/<Reakcja_3>/Cancel/Stop)

where:

• <Reakcja_1> jest metodą domyślną. Może to być jedna

z następujących reakcji: Report only, desInfect lub Delete;

• <Reakcja_2>

oraz <Reakcja_3> to pozostałe dwie metody z wymienionych powyżej. Polecenia Cancel oraz Stop zawsze znajdują się na końcu zapytania.

Aby wybrać metodę domyślną należy wcisnąć na klawiaturze literę od- powiadającą wielkiej literze w nazwie opcji lub klawisz <O> (oznaczający wybranie polecenia OК).

Aby wybrać jedną z pozostałych metod należy wcisnąć na klawiaturze literę odpowiadającą wielkiej literze w nazwie opcji. Przykładowo, aby wybrać polecenie disInfect należy wcisnąć na klawiaturze klawisz <I>.

Jeżeli zainfekowany jest sektor startowy (MBR, tablica partycji)

i wybrana została opcja disInfect lub Delete, Scanner wyświetli poniższe ostrzeżenie:

3030

SCANNER

Treatment of sectors is a risky operation! We recommend you to make a complete backup of your drive. Proceed with treatment now? - Yes/No

Aby potwierdzić wykonanie operacji należy wcisnąć klawisz <Y> i <E

>. Aby anulować należy wcisnąć klawisz <N> i <E

NTER

Jeżeli wykonanie operacji zostanie potwierdzone, Scanner rozpocznie leczenie sektorów i nadpisze je standardowym sektorem startowym MS-DOS

6.0. Jeżeli wykonanie operacji zostanie anulowane, proces testowania zakończy się. W takim przypadku możliwe będzie zamknięcie programu i utworzenie kopii zapasowej dysku przed rozpoczęciem ewentualnego leczenia.

Po wybraniu jednej z powyższych metod traktowania zainfekowanych obiektów, na ekranie pojawi się poniższy komunikat:

Apply to all Infected objects? - Yes/No

Jeżeli odpowiedź będzie twierdząca, skaner zastosuje wybraną metodę dla wszystkich zainfekowanych obiektów. Rezultaty testu zostaną zapisane w raporcie.

4.2.3. Obsługa uszkodzonych

obiektów

Zainfekowane obiekty nie zawsze mogą być leczone, ponieważ niektóre wirusy nieodwracalnie zmieniają ich zawartość. Obiekty takie powinny być usuwane.

Jeżeli program nie może wyleczyć obiektu, na ekranie pojawi się poniższy komunikat:

Disinfecting of <NAZWA_OBIEKTU> infected by virus <NAZWA_WIRUSA> is impossible. Delete this object

- Yes/No

gdzie:

•

<NAZWA_OBIEKTU> <NAZWA_WIRUSA>

•

cie.

jest nazwą zainfekowanego obiektu;

jest nazwą wirusa wykrytego w obiek-

3131

SCANNER

Aby usunąć obiekt należy wcisnąć klawisz <Y> oraz <E

NTER

>. Pro-

gram usunie obiekt i wyświetli pytanie:

Delete all non disinfected objects? - Yes/No

Jeżeli odpowiedź będzie twierdząca, skaner automatycznie usunie każdy obiekt, którego leczenie nie jest możliwe. Jeżeli odpowiedź bę- dzie przecząca, przy wykryciu kolejnego obiektu, którego nie można wyleczyć, Scanner umożliwi użytkownikowi podjęcie odpowiedniej decyzji.

Aby anulować usuwanie obiektu należy wcisnąć klawisz <N> oraz

>. Program nie usunie obiektu i wyświetli poniższe pytanie:

NTER

Do no t d e le t e al l non-disinfected o b je c ts? Yes/No

Jeżeli odpowiedź będzie twierdząca, skaner automatycznie pominie wszystkie obiekty, których leczenie nie jest możliwe. Jeżeli odpowiedź będzie przecząca, przy wykryciu kolejnego obiektu, którego leczenie jest niemożliwe, program umożliwi użytkownikowi podjęcie odpowied- niej decyzji.

!"Scanner nie leczy wirusów w pocztowych bazach danych oraz

w pocztowych formatach tekstowych. W celu leczenia wiadomości poczty elektronicznej należy wykorzystać program Keeper (patrz rozdział 7). Scanner nie leczy i nie usuwa zainfekowanych plików zapisanych w archiwach. Aby wyleczyć takie pliki należy rozpakować archiwum do tymczasowego katalogu, wyleczyć lub usunąć zainfekowane obiekty i ponownie utworzyć archiwum.

4.2.4. Obsługa podejrzanych

obiektów

Jeżeli Scanner poinformuje o wykryciu podejrzanego pliku lub sektora zalecamy skontaktowanie się z działem pomocy technicznej. Obiekt taki można również wysłać do firmy Kaspersky Lab (przykładowo, pod adres

newvirus@kaspersky.pl

zie.

) gdzie zostanie on poddany szczegółowej anali-

3232

SCANNER

Przed wysłaniem podejrzanego obiektu do firmy Kaspersky Lab należy go umieścić w archiwum zabezpieczonym hasłem.

4.3. Przeglądanie statystyk dotyczących wydajności

Jak przeglądać rezultaty testów? Wiadomości dotyczące testowanych obiektów. Statystyki dotyczące wydajności.

Podczas testowania obiektów program wyświetla bieżące rezultaty. Z lewej strony ekranu znajdują się nazwy testowanych obiektów, natomiast,

po stronie przeciwnej wyświetlany jest ich status. Lista wszystkich wyświe- tlanych komunikatów znajduje się w Dodatku B.

Po zakończeniu testu program wyświetla statystykę zawierającą informacje o przetestowanych obiektach oraz o wykrytych i usuniętych wirusach.

Tabela zawierająca statystykę podzielona jest na dwie kolumny:

• Lewa kolumna

katalogów, plików spakowanych oraz archiwów. W kolumnie tej wyświetlany jest również czas testowania.

• Prawa kolumna

• Known viruses — ilość wirusów wykrywanych przez

Kaspersky Anti-Virus for Linux;

• Virus bodies — ilość plików zainfekowanych znanymi

wirusami;

• Disinfected — ilość obiektów, z których usunięto wi-

rusy;

• Deleted — ilość usuniętych obiektów;

• Warnings — ilość obiektów, które zawierają kod po-

dobny do kodu znanego wirusa;

• Suspicious — ilość podejrzanych obiektów, np. wy-

krytych podczas analizy heurystycznej;

zawiera ilość testowanych sektorów, plików,

zawiera poniższe wartości:

3333

SCANNER

• Corrupted — ilość uszkodzonych obiektów;

• I/O errors — ilość błędów, które wystąpiły podczas

odczytywania plików.

!"Informacje dotyczące zainfekowanych obiektów oraz statystyk będą

zapisywane w raporcie tylko, gdy program zostanie odpowiednio skonfigurowany.

!"Aby przetworzyć i zsumować dane z raportów by przeglądać szcze-

góły operacji skanowania należy użyć programu Slogan (patrz rozdział 9).

3434

Rozdział

5. Scanner oraz Daemon:

Scanner oraz Daemon:

5.5.

Scanner oraz Daemon:Scanner oraz Daemon: korzystanie z przełączników

korzystanie z przełączników

korzystanie z przełączników korzystanie z przełączników oraz profili

oraz profili

oraz profilioraz profili

5.1. Ustawienia testowania

Jakie obiekty testować? Jak traktować zainfekowane obiekty?

Aby wykrywanie wirusów było możliwe należy określić poniższe parametry:

• Lokalizacja testowanych obiektów: sektory systemowe (Boot

Sector, Master Boot Record, tabela partycji) oraz pliki zapisane na lokalnych, sieciowych i zewnętrznych dyskach (floppy, LS120, CD).

• Obiekty przeznaczone do testu: pliki spakowane, archiwa,

pocztowe bazy danych, lokalne skrzynki pocztowe, pliki różnych typów.

3535

USTAWIENIA

• Reakcje na wystąpienie zainfekowanych obiektów: obiekty

takie mogą być leczone, usuwane lub kopiowane do określonego katalogu.

• Zaawansowane narzędzia testujące: wyszukiwanie uszkodzo-

nych i zmodyfikowanych wirusów, test redundancyjny (sprawdzający nie tylko punkty wejścia do pliku, ale całą zawartość analizowanego pliku), analizator heurystyczny (pozwalający na wykrywanie nieznanych wirusów).

!"Przeprowadzone testy dowiodły, że analizator heurystyczny wykrywa

ponad 92% nieznanych wirusów.

• Zapisywanie raportu z testu do pliku: program może zapisy-

wać raport z procesu testowania oraz informacje o wydajności do pliku.

5.2. Jak zmieniać ustawienia?

Przełączniki linii poleceń, profile oraz program konfiguracyjny. Zalecenia dotyczące korzystania z różnych ustawień.

Skaner antywirusowy oraz program Daemon ładuje ustawienia z profilu (przykładowo, z pliku .prf). W celu redagowania profilu należy zastosować jedną z poniższych metod:

• skorzystać z programu Tuner (patrz rozdział 10) lub WebTuner

(patrz rozdział 11).

• zredagować plik .prf przy użyciu dowolnego edytora testu. Usta-

wienia z profilu mogą być również zmienione przy użyciu przełączników linii poleceń.

Jeżeli Scanner ma być wykorzystywany do różnych celów, możliwy jest wybór jednej z poniższych konfiguracji:

• Test regularny. Scanner może wykonywać test regularnie

(przykładowo, codzienne testowanie dysków). W tym celu należy utworzyć zestaw profili zawierających różne ustawienia i uru-

3636

USTAWIENIA

chamiać skaner antywirusowy z odpowiednimi profilami definiowanymi w linii poleceń

• Test nieregularny. W niektórych przypadkach może wystąpić

konieczność uruchomienia testu z niestandardowymi ustawieniami. Przykładowo, możliwe jest wyszukiwanie wirusów tylko w pocztowych bazach danych. W takim przypadku zaleca się uruchomienie skanera z poziomu linii poleceń przy użyciu odpowiednich przełączników.

5.3. Konfigurowanie lokalizacji obiektów przeznaczonych do testowania

Lokalizacja obiektów przeznaczonych do testowania. Testowane obiekty. Indywidualne ustawienia dla lokalizacji obiektów.

5.3.1. Definiowanie lokalizacji

obiektów przeznaczonych do testowania

Przed zmianą innych ustawień należy podać lokalizację obiektów przeznaczonych do testowania.

!"Jeżeli program zostanie uruchomiony bez określonej lokalizacji

obiektów przeznaczonych do testowania, na ekranie pojawi się poniższy komunikat: "Nothing to scan. You should select at least one directory to scan."

Lokalizację należy określić w linii Names, w sekcji [Object] profilu.

3737

USTAWIENIA

!"JEDEN PROFIL MOŻE POSIADAĆ WIĘCEJ NIŻ JEDNĄ SEKCJĘ

[Object] dla różnych lokalizacji. Ponadto dla każdej lokalizacji moż- liwe jest określenie innych ustawień testowania.

Aby zdefiniować lokalizację obiektów przeznaczonych do testowania,

w linii Names sekcji [Object] należy podać katalogi systemu plików, w których test ma być przeprowadzony. W przypadku podania większej ilości katalogów należy oddzielić je za pomocą średników. Jeżeli program ma wyszukiwać wirusy w podanym katalogu należy poprzedzić nazwę katalogu znakiem ”*”. Przykładowo, jeżeli linia wygląda nastę- pująco: Names =*/root/vir; .home/samba; */root/tst; program będzie szukał wirusów tylko w plikach zapisanych w katalogach /root/vir oraz /root/tst. Aby wyłączyć katalog z lokalizacji przeznaczonej do sprawdzania należy poprzedzić jego nazwę znakiem ".". Lokalizacja obiektów przeznaczonych do testowania może być również określona przy użyciu przełączników linii poleceń (patrz rozdział 4.1).

!"Jeżeli zalogowany użytkownik nie posiada dostępu do katalogów lub

plików przeznaczonych do testowania, obiekty te zostaną pominięte podczas testu.

Aby wyszukiwać wirusy w podkatalogach katalogów określo- nych w linii Names,

należy wpisać Yes w linii SubDirectories sekcji [Object]. W przeciwnym wypadku należy wpisać No.

!"Parametrowi SubDirectories odpowiada przełącznik linii poleceń -R[-].

Przełącznik -R wyłącza, natomiast -R- włącza testowanie pod- katalogów zdefiniowanych w linii Names.

Jeżeli program ma przekraczać granice systemu plików,

należy wpisać Yes w linii CrossFs sekcji [Object]. W przeciwnym wypadku należy wpisać No.

!"Parametrowi CrossFs odpowiada przełącznik linii poleceń

-C[-]. Przełącznik -C wyłącza, natomiast -C- włącza przekraczanie

granic systemu plików.

3838

USTAWIENIA

5.3.2. Definiowanie obiektów

przeznaczonych do testowania

5.3.2.1. Typy obiektów

Po określeniu lokalizacji obiektów przeznaczonych do testowania (patrz podrozdział 5.3.1) należy zdefiniować w jakich obiektach wyszukiwane będą wirusy. Program może wykrywać wirusy w następujących typach obiektów:

• sektory (patrz podrozdział 5.3.2.2);

• pliki (patrz podrozdział 5.3.2.3) włączając:

• spakowane pliki uruchamialne (patrz podroz-

dział 5.3.2.4);

• archiwa, także samo rozpakowujące się (patrz podroz-

dział 5.3.2.5);

• pocztowe bazy danych oraz pocztowe formaty tekstowe

(patrz podrozdział 5.3.2.6);

• obiekty OLE osadzone w testowanych plikach (patrz

podrozdział 5.3.2.7).

!"Jeżeli program zostanie uruchomiony bez określenia obiektów prze-

znaczonych do testowania, na ekranie pojawi się poniższy komunikat: "Nothing to scan. You should select Files and/or Sectors in the *.prf file."

Obiekty przeznaczone do testowania należy zdefiniować w odpowiednich liniach sekcji [Object] profilu.

5.3.2.2. Sektory

Aby program testował (ignorował) sektory w wybranej lokalizacji

należy wpisać Yes (No) dla parametru Sectors znajdującego się w profilu.

!"Parametrowi temu odpowiadają przełączniki linii poleceń -P[-] oraz -

B[-]. Przełącznik -P wyłącza, natomiast -P- włącza testowanie sektora

3939

USTAWIENIA

MBR. Przełącznik -B wyłącza, natomiast -B- włącza testowanie sektorów startowych dysków określonych w linii Names.

5.3.2.3. Pliki

Aby program testował pliki w wybranej lokalizacji należy:

1. Wpisać Yes w linii Files profilu

2. Jeżeli ustawienia mają być szczegółowe w polu FileMask należy wpisać jeden z poniższych parametrów:

• 0 — testowanie programów (przykładowo wszystkich

plików posiadających rozszerzenia .bat, .com, .exe, .ov*, .sys, .bin, .prg, .class, .ini, .vbs, .js, .htm, .dpl, .htt, .hta, .hlp, .pif), plików, których wewnętrzny format jest zbliżony do formatu uruchamialnych plików DOS (*.com, *.exe oraz .sys), plików Windows oraz OS/2 (.exe, *.dll), plików Linux (format .elf), plików posiadają- cych format dokumentów oraz arkuszy pakietu Microsoft Office (OLE2 oraz Access) oraz apletów Javy. Parametr ten umożliwia testowanie wszystkich plików, które mogą przechowywać wirusy.

• 1 — testowanie plików posiadających rozszerzenia: bat,

.bin, .cla, .cmd, .com, .cpl, .dll, .doc, .dot, .dpl, .drv, .dwg, .eml, .exe, .fpm, .hlp, .hta,.htm, .htt, .ini, .js, .jse, .lnk, .mbx, .md*, .msg, .msi, .ocx, .otm, .ov*, .php, .pht, .pif, .plg, .pp*, .prg, .rtf, .scr, .shs, .sys, .tsp, .vbe, .vbs, .vxd, .xl*.

• 2 — testowanie wszystkich plików (parametrowi temu

odpowiada maska *.*).

Wartości 2 parametru FileMask odpowiadają przełączniki linii poleceń

-* oraz –I2

• 3 — testowanie plików zdefiniowanych przez użytkow-

nika poprzez parametr UserMask. Jeżeli zachodzi potrzeba zdefiniowania większej ilości typów, należy oddzielić je znakiem przecinka.

Pliki przeznaczone do testowania mogą być również określone przy

użyciu przełącznika linii poleceń: -@!=nazwa_pliku. W takim przypadku

4040

USTAWIENIA

Scanner będzie testował tylko pliki określone w pliku tekstowym nazwa_pliku (ASCII). Każda z linii tego pliku może zawierać tylko jedną nazwę (wraz z pełną ścieżką dostępu). Jeżeli po zakończeniu testowania plik nazwa_pliku ma być usunięty należy skorzystać z opcjonalnego parametru ! (przykładowo, -@!= nazwa_pliku). Jeżeli parametr ! nie pojawi się w przełączniku (np. -@=nazwa_pliku), plik nie będzie usunięty.

Aby wykluczyć pliki z procesu testowania:

1. należy wpisać jeden z poniższych parametrów w linii

ExcludeFiles profilu:

• 1 — wykluczenie z procesu testowania plików określo-

nych poprzez parametr ExcludeMask (patrz poniżej);

• 2 — wykluczenie z procesu testowania plików położo-

nych w katalogach określonych poprzez parametr ExcludeDir (patrz poniżej);

• 3 — wykluczenie z procesu testowania plików określo-

nych poprzez parametry ExcludeMask oraz ExcludeDir.

Aby żadne pliki nie zostały wykluczone z procesu testowania należy

wpisać wartość 0 w linii ExcludeFiles.

2. Maski plików podawane w linii ExcludeMask należy

oddzielić przy użyciu przecinków lub spacji.

Parametrowi temu odpowiada przełącznik linii poleceń

-XF=maski_plików, gdzie w miejsce parametru maski_plików należy wpisać maski plików, które mają być wykluczone z procesu testowania.

3. Nazwy katalogów podawane w linii ExcludeDir należy oddzielić przy użyciu przecinków lub spacji.

Parametrowi temu odpowiada przełącznik linii poleceń

-XD=nazwy_katalogów, gdzie w miejsce parametru nazwy_katalogów należy wpisać nazwy katalogów, które mają być wykluczone z procesu testowania. Katalogi zdefiniowane w liniach InfectedFolder, SuspiciousFolder oraz CorruptedFolder pliku profilu (patrz podrozdział 5.4.3) będą automatycznie ignorowane podczas testu.

4141

USTAWIENIA

Jeżeli występuje podejrzenie zainfekowania komputera należy wpisać wartość Yes dla wszystkich obiektów przeznaczonych do testowania oraz wartość 2 w linii FileMask. Dla codziennych testów zapobiegawczych należy wpisać wartość Yes liniach Sectors oraz Files, wartość 0 w linii FileMask oraz wyłączyć narzędzia testujące archiwa i spakowane pliki uruchamialne.

5.3.2.4. Spakowane pliki uruchamialne

Dzięki mechanizmowi Unpacking Engine, Scanner umożliwia wyszukiwanie wirusów w spakowanych plikach uruchamialnych stosując swoiste mechanizmy rozpakowujące.

Spakowane pliki uruchamialne zawierają specjalne moduły rozpakowujące. Gdy taki plik jest uruchamiany, moduł rozpakowuje program do pamięci RAM i uruchamia go. Narzędzia pakujące mogą umieścić wirusa w pliku razem z plikami niezainfekowanymi. Jeżeli plik taki będzie testowany przy użyciu konwencjonalnego skanera antywirusowego, zainfekowany plik nie zostanie wychwycony, ponieważ ciało wirusa jest spakowane wraz z kodem programu.

Aby uruchomić mechanizm testujący pliki spakowane (Unpacking Engine),

należy wpisać wartość Yes w linii Packed pliku profilu.

Parametrowi temu odpowiada przełącznik linii poleceń -U[-]. Prze- łącznik -U wyłącza, natomiast -U- włącza testowanie plików spako-

wanych.

Mechanizm unpacking engine rozpakowuje pliki wykonane przy użyciu większości popularnych narzędzi pakujących (DIET, PKLITE, LZEXE, EXEPACK itp.) do tymczasowego katalogu, w którym Scanner może je przetestować. Po zakończeniu procesu testowania pliki tymczasowe są usuwane.

Unpacking Engine tworzy pliki tymczasowe w katalogu określonym poprzez parametr TempPath w sekcji [TempFiles], która znajduje się w profilu (patrz podrozdział 5.4.2).

Jeżeli w spakowanym pliku zostanie wykryty wirus rozpoznawany przez program Kaspersky Anti-Virus for Linux, możliwe będzie usunięcie takiego wirusa (jeżeli Scanner został odpowiednio skonfigurowany — patrz

4242

USTAWIENIA

podrozdział 5.3.3). W takim przypadku zainfekowany plik zostanie zastąpiony plikiem rozpakowanym i wyleczonym. Jeżeli mechanizm leczenia plików spakowanych jest wyłączony, Scanner może wykrywać tylko wirusy, które zaatakowały pliki już po ich spakowaniu.

Unpacking Engine może prawidłowo rozpakowywać pliki, które zostały skompresowane wielokrotnie. Może również współpracować z programami zabezpieczającymi pliki spakowane (przykładowo, CPAV oraz F-XLOCK) oraz z narzędziami szyfrującymi (takimi jak CryptCOM).

Jeżeli mechanizmy Unpacking Engine oraz Extracting Engine są aktywne, Kaspersky Anti-Virus for Linux może wykrywać zainfekowane pliki, nawet jeżeli zostały one zaszyfrowane przy użyciu programu CryptCOM, spakowane za pomocą PKLITE i umieszczone w archiwum PKZIP.

5.3.2.5. Archiwa

Dzięki mechanizmowi Extracting Engine, Scanner może wykrywać wirusy w plikach zapisanych w archiwach (włącznie z archiwami samorozpakowującymi się). Został on zaprojektowany w celu wykrywania wirusów w plikach zarchiwizowanych przy użyciu popularnych programów archiwizujących: ZIP, ARJ, LHA, RAR, CAB itp.

!"Możliwość wykrywania wirusów w archiwach jest bardzo ważna, po-

nieważ zainfekowany plik może być nieświadomie przechowywany w archiwum przez bardzo długi okres czasu i pewnego dnia (po rozpakowaniu archiwum przez użytkownika) zaatakować system.

Aby włączyć Extracting Engine należy:

1. Wpisać Yes w linii Archives znajdującej się w profilu (jeżeli mechanizm ma pozostać wyłączony należy wpisać No).

2. Wpisać Yes w linii SelfExtArchives znajdującej się w profilu (w celu testowania archiwów samo rozpakowujących się). Jeżeli mechanizm ten ma pozostać wyłączony należy wpisać No.

!"Parametrowi Archives temu odpowiada przełącznik linii poleceń -A[-].

Przełącznik -A wyłącza, natomiast -A- włącza mechanizm Extracting Engine.

!"Scanner nie może rozpakowywać archiwów zabezpieczonych ha-

słem. Scanner nie usuwa wirusów z plików zapisanych w archiwach lecz tylko je wykrywa.

4343

USTAWIENIA

!"Extracting Engine tworzy pliki tymczasowe w katalogu określonym

poprzez parametr TempPath w sekcji [TempFiles], która znajduje się w profilu (patrz podrozdział 5.4.2).

!"Extracting Engine zauważalnie spowalnia proces testowania. Z tego

powodu włączanie tego mechanizmu zalecane jest tylko w przypadku zaistnienia podejrzenia obecności wirusa w zarchiwizowanych plikach.

5.3.2.6. Pocztowe bazy danych oraz pocztowe formaty tekstowe

Scanner umożliwia wykrywanie wirusów w pocztowych bazach danych i w pocztowych formatach tekstowych.

Testowanie pocztowych baz danych, a w szczególności pocztowych formatów tekstowych znacznie spowalnia proces testowania. Z tego powodu nie zaleca się wyłączenie tych opcji podczas wykonywania testów rutynowych.

Scanner tylko wykrywa wirusy w pocztowych bazach danych i w

pocztowych formatach tekstowych. Program nie usuwa wirusów wykrytych w tych plikach.

Kaspersky Anti-Virus for Linux wykrywa wirusy w pocztowych bazach danych następujących typów:

• Microsoft Outlook, Microsoft Outlook Express (pliki *.pst oraz

*.pab);

• Microsoft Internet Mail (pliki *.mbx);

• Eudora Pro & Lite;

• Pegasus Mail;

• Netscape Navigator Mail;

• Serwer JSMail SMTP/POP3 (baza danych użytkowników).

Aby uaktywnić wykrywanie wirusów w pocztowych bazach danych,

należy wpisać Yes w linii MailBases znajdującej się w profilu. W przeciwnym wypadku należy wpisać No.

4444

USTAWIENIA

!"Parametrowi temu odpowiada przełącznik linii poleceń -MD[-]. Prze-

łącznik -MD włącza, natomiast -MD- wyłącza testowanie pocztowych

baz danych.

Podczas testowania pocztowych baz danych Kaspersky Anti-Virus for Linux skanuje wszystkie ich elementy oraz załączniki. Obsługiwane są formaty następujących typów: UUEncode; XXEncode; btoa (do wersji

5.0); btoa 5.*; BinHex 4.0; ship; NETRUN 3.10; NETSEND 1.0 (nie spakowane); NETSEND 1.0C (spakowane); MIME base64.

Aby uaktywnić wykrywanie wirusów w pocztowych formatach tekstowych,

należy wpisać Yes w linii MailPlain znajdującej się w profilu. W przeciwnym wypadku należy wpisać No.

!"Parametrowi temu odpowiada przełącznik linii poleceń -MP[-]. Prze-

łącznik -MP włącza, natomiast -MP- wyłącza testowanie pocztowych

formatów tekstowych.

Podczas testowania pocztowych formatów tekstowych Kaspersky Anti-Virus for Linux skanuje nagłówek każdej wiadomości oraz załączone dane (UUEncode, XXEncode itp.).

5.3.2.7. Osadzone obiekty OLE

Aby uaktywnić wykrywanie wirusów w obiektach OLE osadzonych w testowanych plikach,

należy wpisać Yes w linii Embedded znajdującej się w profilu. W prze- ciwnym wypadku należy wpisać No.

4545

USTAWIENIA

5.3.3. Definiowanie reakcji na

wystąpienie zainfekowanych, podejrzanych oraz uszkodzonych obiektów

W liniach sekcji [Object] znajdującej się w profilu możliwe jest określenie reakcji na wystąpienie zainfekowanych, podejrzanych lub uszkodzonych obiektów.

!"Jeżeli Kaspersky Anti-Virus for Linux wyświetli komunikat o

wykryciu podejrzanego pliku lub sektora, zaleca się skontaktowanie z działem pomocy technicznej. Obiekt taki należy wysłać do firmy Kaspersky Lab (przykładowo, pod adres newvirus@kaspersky.pl), gdzie zostanie on poddany analizie. Przed wysłaniem podejrzanego obiektu należy umieścić go w zabezpieczonym hasłem archiwum, wraz z hasłem.

W celu zdefiniowania reakcji na wystąpienie zainfekowanych, podejrzanych lub uszkodzonych obiektów,

należy wpisać jedną z poniższych wartości dla parametru InfectedAction znajdującego się w profilu:

• 0 — zapisywanie w raporcie informacji o zainfekowanych, podej-

rzanych oraz uszkodzonych obiektach. Informacje te będą wyświetlane na ekranie i zapisywane w pliku raportu (patrz podrozdział 5.4.4). W tym trybie program nie będzie leczył ani usuwał zainfekowanych obiektów.

!"Wartości 0 podawanej dla parametru InfectedAction odpowiada

przełącznik linii poleceń -I0.

• 1 — umożliwia użytkownikowi wybór metody traktowania zainfe-

kowanych obiektów (patrz podrozdział 4.2.2).

!"Jest to tryb zalecany, ponieważ umożliwia on użytkownikowi

kontrolowanie procesu leczenia. Wartości 1 podawanej dla parametru InfectedAction odpowiada przełącznik linii poleceń -I1.

4646

USTAWIENIA

• 2 — leczenie wszystkich zainfekowanych obiektów bez pytania o

potwierdzenie. Jeżeli leczenie obiektu nie jest możliwe, program zaproponuje jego usunięcie (patrz podrozdział 4.2.3).

!"Automatyczne leczenie zainfekowanych obiektów może być również

uaktywnione przy użyciu przełącznika linii poleceń — lub –I2. Dla trybu tego przeznaczone są także dwa dodatkowe przełączniki: –I2S (automatyczne leczenie zainfekowanych obiektów i pomijanie obiektów, których leczenie nie jest możliwe) oraz —I2D (automatyczne leczenie zainfekowanych obiektów i usuwanie obiektów, których leczenie nie jest możliwe).

• 3 — usuwanie zainfekowanych obiektów bez pytania o potwier-

dzenie.

!"Wartości 3 podawanej dla parametru InfectedAction odpowiadają

przełączniki linii poleceń –E oraz –I3.

Podczas testowania Scanner może wykryć zainfekowane obiekty, których leczenie nie jest możliwe. W takim przypadku jedynym sposobem na zabezpieczenie komputera jest usunięcie takich obiektów.

W celu zdefiniowania reakcji na wystąpienie zainfekowanych obiektów, których leczenie nie jest możliwe,

należy wpisać jedną z poniższych wartości dla parametru IfDisinfImpossible znajdującego się w profilu:

• 0 — zapisywanie w raporcie informacji o zainfekowanych obiek-

tach, których leczenie nie jest możliwe (patrz podrozdział 4.2.3). Informacje te będą wyświetlane na ekranie i zapisywane w pliku raportu (patrz podrozdział 5.4.4). W tym trybie program nie bę- dzie usuwał obiektów.

!"Wartości 0 podawanej dla parametru IfDisinfImpossible odpowiada

przełącznik linii poleceń –I2S.

• 1 — usuwanie obiektów, których leczenie nie jest możliwe.

!"Wartości 1 podawanej dla parametru IfDisinfImpossible odpowiada

przełącznik linii poleceń –I2D.

Program może kopiować zainfekowane i podejrzane obiekty do określo- nego katalogu. Kopie takie mogą być w niektórych przypadkach bardzo

4747

USTAWIENIA

użyteczne. Przykładowo, jeżeli Scanner usuwa zainfekowane obiekty (wartość 3 w linii InfectedAction), możliwe będzie wykorzystanie kopii do późniejszego odzyskania danych.

W celu kopiowania zainfekowanych plików do określonego katalogu,

należy wpisać Yes w linii BackupInfected znajdującej się w profilu.

Katalog przeznaczony do przechowywania kopii zainfekowanych

plików musi być określony w sekcji [ActionWithInfected] profilu (patrz podrozdział 5.4.3).

5.3.4. Definiowanie wykorzystania

zaawansowanych narzędzi testujących

W liniach sekcji [Object] możliwe jest włączenie/wyłączenie następujących narzędzi testujących:

• Zaawansowane narzędzie testujące

nych i zmodyfikowanych wirusów. Jeżeli plik lub sektor zawiera takiego wirusa lub podejrzany kod program wyświetla odpowiednie ostrzeżenie.

• Analizator kodu (heurystyczne narzędzie testujące)

stuje pliki i sektory w poszukiwaniu kodu zbliżonego do instrukcji wykonywanych przez wirusy.

• Narzędzie przeprowadzające test redundancyjny

nuje nie tylko punkty wejściowe plików wykorzystywane przez system operacyjny lecz całą ich zawartość. W większości przypadków wirusy dopisują do punktów wejściowych atakowanych plików odwołania do niebezpiecznego kodu zapisanego wewnątrz pliku. W celu usunięcia takiego wirusa wystarczające jest uruchomienie konwencjonalnego skanera antywirusowego. Jednak niektóre wirusy dzielą swój kod na kilka części i umieszczają je w wolnych obszarach infekowanych

4848

szuka uszkodzo-

ska-

te-

USTAWIENIA

plików. W takim przypadku konwencjonalny skaner wyleczy tylko punkt wejściowy oraz usunie główną część kodu wirusa z pliku, jednak pozostałe elementy niebezpiecznego kodu pozostaną nietknięte. W przypadku takim konieczne będzie skorzystanie z testu redundancyjnego.

Aby uaktywnić wyszukiwanie uszkodzonych oraz zmodyfikowanych wirusów,

należy wpisać Yes w linii Warnings znajdującej się w profilu.

Aby uaktywnić analizator kodu wykrywający nieznane wirusy,

należy wpisać Yes w linii CodeAnalyser znajdującej się w profilu.

Wartości tej odpowiada przełącznik linii poleceń -H[-]. Przełącznik -H

wyłącza, natomiast -H- włącza analizator kodu.

Domyślnie analizator kodu jest zawsze włączony. Wyłączanie tej

opcji nie jest zalecane!

Jeżeli analizator kodu wykryje podejrzane instrukcje (takie jak otwarcie pliku, zapisanie do niego danych, przechwytywanie systemowych przerwań itp.) plik, z którego je uruchomiono zostanie sklasyfikowany jako podejrzany, a program wyświetli odpowiedni komunikat:

Suspicion: <TYP>

gdzie <TYP> jest zastępowany jedną z poniższych możliwości:

• Com—podejrzenie ataku wirusa infekującego pliki .COM;

• Exe—podejrzenie ataku wirusa infekującego pliki .EXE;

• ComExe—podejrzenie ataku wirusa infekującego pliki .COM

oraz .EXE;

• ComTSR, ExeTSR, SysTSR, ComExeTSR—podejrzenie ataku

wirusa infekującego pliki .COM, .EXE oraz .SYS;

• Boot—plik/sektor prawdopodobnie został zainfekowany boot-

wirusem lub programem instalującym boot-wirusy;

• Trojan—plik prawdopodobnie jest koniem trojańskim;

• Trivial—plik prawdopodobnie jest zainfekowany nieznanym

wirusem zastępującym pliki uruchamialne zapisane w bieżącym

4949

USTAWIENIA

katalogu swoim kodem (rozmiar takich wirusów zazwyczaj nie przekracza 300 bajtów);

• Win32—plik prawdopodobnie jest zainfekowany nieznanym

wirusem działającym w systemie Windows;

• Formula—plik programu Excel zawierający podejrzane

instrukcje.

Jak każdy inny algorytm heurystyczny, analizator kodu może generować fałszywe alarmy. Jeżeli program wyświetli taki alarm należy wysłać podejrzany plik do firmy Kaspersky Lab gdzie zostanie on poddany analizie.

Uaktywnienie analizatora kodu wydłuża czas testowania o około 20%, jednak narzędzie to prawidłowo wykrywa ponad 92% nieznanych wirusów (wirusów nie zapisanych w antywirusowych bazach danych programu).

Aby uaktywnić test redundancyjny,

należy wpisać Yes w linii RedundantScan znajdującej się w profilu.

Parametrowi temu odpowiada przełącznik linii poleceń -V[-].

Przełącznik -V włącza, natomiast -V- wyłącza test redundancyjny. Uaktywnienie testu redundancyjnego jest zalecane jeżeli standar-

dowy test nie wykrywa żadnych wirusów, a zachowanie systemu jest podejrzane (przykładowo, komputer często się zawiesza lub restartuje, aplikacje pracują bardzo wolno itp.). W przeciwnym wypadku włączanie testu redundancyjnego nie jest zalecane, ponieważ powoduje on znaczne spowolnienie procesu testowania oraz zwięk- szenie prawdopodobieństwa występowania fałszywych alarmów.

5050

USTAWIENIA

5.4. Ustawienia łączne lokalizacji

obiektów przeznaczonych do testowania

5.4.1. Ustawienia łączne

W przeciwieństwie do ustawień dla poszczególnych lokalizacji obiektów przeznaczonych do testowania definiowanych dla konkretnych sekcji

[Object] znajdujących się w profilu (patrz podrozdział 5.3), ustawienia łączne dotyczą wszystkich sekcji [Objects] zdefiniowanych w profilu.

Ustawienia ogólne zgromadzone są w kilku sekcjach pliku defUnix.prf (szczegółowe informacje na ten temat znajdują się w Dodatku В).

Możliwe jest zdefiniowanie następujących ustawień ogólnych:

• Ogólne parametry testowania oraz pracy skanera antywiruso-

wego (patrz podrozdział 5.4.2).

• Definiowanie testu oraz działania: Scanner oraz Daemon

wykorzystywane do obsługi zainfekowanych, podejrzanych oraz uszkodzonych obiektów (patrz podrozdział 5.4.3).

• Generowanie raportu oraz statystyk (patrz podrozdział 5.4.4).

5.4.2. Definiowanie ustawień testu

oraz działania: Scanner oraz Daemon

Ogólne parametry dotyczące działania programu znajdują się w sekcji [Customize] profilu. Sekcja ta umożliwia określenie częstotliwości uaktu- alniania antywirusowych baz danych programu Kaspersky Anti-Virus for Linux oraz zdefiniowanie akcji jakie mają być podjęte w przypadku gdy

5151

USTAWIENIA

bazy są zainfekowane. Możliwe jest również określenie jakie komunikaty będą wyświetlane przez program.

Ogólne parametry dotyczące testowania znajdują się w sekcjach [Options] oraz [Tempfiles] profilu. Parametry te umożliwiają określenie Definiowanie ogólnych ustawień pracy programu testowania katalogów zapisanych na dyskach wymiennych, testowania łączy i podkatalogów oraz generowania plików tymczasowych.

Definiowanie ogólnych ustawień pracy programu

Nowe wirusy pojawiają się codziennie. Jeżeli program antywirusowy ma wydajnie chronić komputer konieczne jest regularne uaktualnianie antywirusowych baz danych.

W celu określenia częstotliwości wyświetlania przypomnienia o aktualizacji należy:

1. Wpisać Yes w linii updatesCheck znajdującej się w sekcji

[Customize] profilu.

2. Wpisać interwał (w dniach) w linii updatesInterval.

Aby uaktywnić zgłaszanie komunikatów o błędach należy

wpisać Yes w linii Othermessages znajdującej się w sekcji [Customize] profilu. W przeciwnym wypadku należy wpisać No.

Aby program pytał o potwierdzenie chęci włączenia testu redundancyjnego należy

wpisać Yes w linii Redundantmessage znajdującej się w sekcji [Customize] profilu. W przeciwnym wypadku program będzie uruchamiał

narzędzie testu redundancyjnego bez potwierdzania.

Opisywane ustawienie będzie wykorzystywane tylko dla lokalizacji,

dla których wpisano wartość (Yes) w linii Redundantscan znajdującej się w sekcji [Object].

5252

USTAWIENIA

Aby program pytał o potwierdzenie chęci usunięcia zainfekowanego obiektu należy

wpisać Yes w linii Deleteallmessage znajdującej się w sekcji [Customize] profilu. Jeżeli podana zostanie wartość No program będzie usuwał zainfekowane pliki bez informowania o tym użytkownika.

Opisywane ustawienie będzie wykorzystywane tylko dla lokalizacji,

dla których wpisano wartość 3 w linii InfectedAction znajdującej się w sekcji [Object].

Aby program kończył swoje działanie w przypadku wykrycia uszkodzonych antywirusowych baz danych należy

wpisać Yes w linii ExitOnBadBases znajdującej się w sekcji [Customize] profilu. W przeciwnym wypadku należy wpisać No.

Aby program wykorzystywał rozszerzone kody wyjścia w raporcie należy

wpisać Yes w linii Useextendedexitcode znajdującej się w sekcji [Customize] profilu. W przeciwnym wypadku należy wpisać No.

Definiowanie ogólnych ustawień operacji skanowania

Aby program pomijał dane zapisane na wymiennych dyskach podczas testowania całego systemu plików (domyślnie ten typ mediów jest także sprawdzany) należy

wpisać No w linii ScanRemovable znajdującej się w sekcji [Options] profilu. W przeciwnym wypadku należy wpisać Yes.

Aby test podkatalogów odbywał się jako ostatni (po zakończeniu przetwarzania obiektów przeznaczonych do testu) należy

wpisać Yes w linii ScanSubDirAtEnd znajdującej się w sekcji [Options] profilu. W przeciwnym wypadku należy wpisać No.

Opisywane ustawienie będzie wykorzystywane tylko dla lokalizacji,

dla których wpisano wartość (Yes) w linii SubDirectories znajdującej się w sekcji [Object] (patrz podrozdział 5.3.1).

5353

USTAWIENIA

Aby określić, czy i jak program będzie testował dowiązania symboliczne należy

wpisać jedną z poniższych wartości w linii Symlinks znajdującej się w sekcji [Options]:

• 0 — program nie będzie testował plików i katalogów dostępnych

poprzez dowiązania symboliczne.

Wartości 0 podanej w linii Symlinks odpowiada przełącznik linii

poleceń -LP.

• 1 — program będzie testował pliki i katalogi dostępne poprzez

dowiązania symboliczne określone w wierszu poleceń. Pozostałe dowiązania będą ignorowane. Jest to ustawienie domyślne.

Wartości 1 podanej w linii Symlinks odpowiada przełącznik linii

poleceń -LH.

• 2 — program będzie testował pliki i katalogi dostępne poprzez

dowiązania symboliczne.

Wartości 2 podanej w linii Symlinks odpowiada przełącznik linii

poleceń -LL.

Cztery opisane poniżej parametry sekcji [Options] dotyczą tylko

programu Scanner. Parametry te nie działają bez aktywnego pliku klucza oraz nie są dostępne w programie Kaspersky Anti-Virus Rescue Disk.

Aby program testował kilka plików jednocześnie należy:

1. Wpisać Yes w linii ParallelScan. W przeciwnym wypadku należy wpisać No.

2. Określić maksymalną ilość plików testowanych jednocześnie w linii LimitForProcesses.

Aby uaktywnić testowanie w pętli należy:

1. Wpisać Yes w linii EndlesslyScan. W przeciwnym wypadku należy wpisać No.

5454

USTAWIENIA

2. Określić interwał między pętlami (w sekundach) w linii ScanDelay. Dla interwału równego zeru należy wpisać wartość

-1.

Aby program tworzył pliki tymczasowe w pamięci (nie będą one zapisywane na dysku) należy:

1. Wpisać Yes w linii UseMemoryFiles znajdującej się w sekcji [Tempfiles] profilu. W przeciwnym wypadku należy wpisać No.

Wtedy pliki tymczasowe będą tworzone na dysku twardym.

2. Aby ograniczyć rozmiar plików tymczasowych tworzonych w pamięci należy określić maksymalny rozmiar (w kilobajtach) w linii LimitForMemFiles. Każdy plik tymczasowy, którego rozmiar przekroczy zdefiniowany limit zostanie zapisany na dysku.

Opisywane ustawienie będzie wykorzystywane tylko dla lokalizacji,

dla których wpisano wartość (Yes) w linii UseMemoryFiles znajdującej się w sekcji [Tempfiles] profilu.

3. Aby ograniczyć rozmiar plików rozpakowywanych w pamięci należy określić maksymalny rozmiar (w kilobajtach) w linii MemFilesMaxSize. W takim przypadku, jeżeli rozpakowywany w pamięci plik przekroczy podany rozmiar operacja zostanie zakończona, a na dysku zostanie utworzony plik tymczasowy.

Opisywane ustawienie będzie wykorzystywane tylko dla lokalizacji,

dla których wpisano wartość (Yes) w linii UseMemoryFiles znajdującej się w sekcji [Tempfiles] profilu.

Wartości podawane w liniach LimitForMemFiles oraz

MemFilesMaxSize nie mogą przekraczać ilości dostępnej pa- mięci RAM.

Aby określić katalog, w którym program będzie zapisywał pliki tymczasowe należy,

wpisać ścieżkę dostępu w linii TempPath. Przykładowo, TempPath=/tmp

5555

USTAWIENIA

5.4.3. Definiowanie reakcji na

wystąpienie zainfekowanych i podejrzanych obiektów

Trzy poniższe sekcje umożliwiają zdefiniowanie reakcji jakimi program odpowie w przypadku wystąpienia zainfekowanych, podejrzanych lub uszkodzonych obiektów:

• Parametry sekcji [ActionWithInfected] definiują obsługę

zainfekowanych obiektów.

• Parametry sekcji [ActionWithSuspicion] definiują obsługę

podejrzanych obiektów.

• Parametry sekcji [ActionWithCorrupted] definiują obsługę

uszkodzonych obiektów.

Aby program kopiował zainfekowane pliki do specjalnego katalogu należy

w sekcji [ActionWithInfected] profilu:

• Wpisać Yes w linii InfectedCopy.

• Określić ścieżkę dostępu do katalogu w linii InfectedFolder.

Domyślna ścieżka dostępu to /infected.

Aby program kopiował podejrzane pliki do specjalnego katalogu należy

w sekcji [ActionWithSuspicion] profilu:

• Wpisać Yes w linii SuspiciousCopy

• Określić ścieżkę dostępu do katalogu w linii SuspiciousFolder.

Domyślna ścieżka dostępu to /suspicious.

Aby program kopiował uszkodzone pliki do specjalnego katalogu należy

w sekcji [ActionWithCorrupted] profilu:

• Wpisać Yes w linii CorruptedCopy.

5656

USTAWIENIA

• Określić ścieżkę dostępu do katalogu w linii CorruptedFolder.

Domyślna ścieżka dostępu to /corrupted.

Aby program kopiował zainfekowane, podejrzane oraz uszkodzone pliki wraz ze ścieżkami dostępu należy

wpisać Yes w liniach CopyWithPaths znajdujących się w powyższych sekcjach. W przeciwnym wypadku należy wpisać No.

Zalecane jest uaktywnienie powyższej opcji, ponieważ w

różnych katalogach mogą być zapisane pliki o podobnych lub jednakowych nazwach.

Aby program zmieniał rozszerzenia zainfekowanych, podejrzanych oraz uszkodzonych plików należy

w opisanych powyżej sekcjach :

• Wpisać Yes w liniach ChangeExt.

• Określić docelowe rozszerzenie w linii NewExtension. Przykła-

dowo, vir dla zainfekowanych plików, susp dla podejrzanych plików oraz corr dla uszkodzonych plików.

Aby program zmieniał właściciela plików, których leczenie nie powiodło się należy

zdefiniować docelową nazwę właściciela w liniach ChownTo powyż- szych sekcji. Aby program nie zmieniał właściciela należy wpisać None.

Aby program zmieniał atrybuty zainfekowanych, podejrzanych oraz uszkodzonych plików, których leczenie nie powiodło się należy

określić docelową maskę atrybutu w liniach ChModTo powyższych sekcji. Przykładowo, wartość 640 ustawia następujące atrybuty: Odczyt przez właściciela, Zapis przez właściciela oraz Odczyt przez grupę. Aby program nie zmieniał właściciela należy wpisać No.

Podczas pracy z zainfekowanymi i podejrzanymi obiektami oraz

z ich kopiami należy postępować bardzo ostrożnie! Nigdy nie należy uruchamiać zainfekowanych plików uruchamialnych.

5757

USTAWIENIA

5.4.4. Definiowanie ustawień raportu

Aby przeglądanie rezultatów testu wykonywanego przez program było możliwe należy zdefiniować parametry zgromadzone w sekcji [Report] znajdującej się w profilu. Sekcja ta umożliwia również włączenie lub wyłą- czenie umieszczania dodatkowych informacji w raporcie.

Aby program tworzył plik raportu należy:

1. Wpisać Yes w linii Report.

2. Określić nazwę pliku raportu w linii ReportFileName. Wartość domyślna to report.txt.

Jeżeli nazwa pliku raportu zostanie poprzedzona znakiem „~”

plik ten zostanie utworzony w katalogu domowym.

Aby ograniczyć rozmiar pliku raportu należy:

• Wpisać Yes w linii ReportFileLimit.

• Określić maksymalny rozmiar pliku raportu (w kilobajtach) w linii

ReportFileSize.

Aby program dopisywał raport do istniejącego pliku należy

wpisać Yes w linii Append. Jeżeli plik raportu ma być zawsze nadpi- sywany należy wpisać No.

Aby program zapisywał informacje o każdym testowanym obiekcie należy

wpisać Yes w linii RepForEachDisk.

Aby określić maskę atrybutów pliku raportu należy

wpisać numer żądanej maski w linii RepCreateFlag. Przykładowo, RepCreateFlag=600

5858

USTAWIENIA

Aby podczas zapisywania raportu program stosował powrót karetki oraz znaki linefeed (zakończenia linii) w celu oddzielania wpisów należy

wpisać Yes w linii UseCR. Domyślnie linie raportu oddzielane są tylko znakami linefeed. W niektórych edytorach tekstu może to powodować nieprawidłowe wyświetlanie.

W celu zdefiniowania pliku raportu można również użyć przełącznika

linii poleceń -W[T][A][+][=nazwa pliku], gdzie nazwa pliku jest nazwą pliku raportu (domyślna nazwa to report.txt). Dodanie do przełącznika litery A spowoduje dopisywanie raportu do pliku, natomiast, gdy użyta zostanie litera T plik raportu będzie zawsze nadpisywany nową zawartością. Użycie znaku + spowoduje dodanie do raportu szczegółowych informacji.

Program może zapisywać rezultaty testu w raporcie systemowym lub w raporcie użytkownika.

Aby program zapisywał rezultaty testu do raportu systemowego należy

wpisać Yes w linii UseSysLog Wpisując No rezultaty testu będą do- dawane do pliku zdefiniowanego przez użytkownika.

Podanie wartości (Yes) w linii UseSysLog spowoduje automatyczne

wyłączenie parametrów: ReportFileName, Append, ReportFileLimit, ReportFileSize oraz RepCreateFlag.

Dwa poniższe parametry mogą być wykorzystane tylko wtedy, gdy

proces demona wywoływany jest z pliku skryptu.

Aby program dodawał rezultaty testu do pliku zdefiniowanego przez użytkownika należy:

1. Wpisać Yes w linii UserReport.

2. Zdefiniować nazwę pliku w linii UserReportName.

Jeżeli nazwa pliku zostanie poprzedzona znakiem „~” plik ten

będzie utworzony w katalogu domowym.

5959

USTAWIENIA

Aby program dodawał do raportu szczegółowe informacje należy

wpisać Yes w linii ExtReport.

Poniższe parametry umożliwiają zdefiniowanie opcjonalnych informacji zapisywanych w raporcie:

• WriteTime – zapisywana będzie data i czas wyświetlenia

informacji przez program. Aby uaktywnić tę opcję należy wpisać Yes.

• WriteTimeInfo – zapisywana będzie data i czas ostatniej

modyfikacji, oraz rozmiar każdego zainfekowanego obiektu. Aby uaktywnić tę opcję należy wpisać Yes.

• ShowOK — zapisywane będą informacje o niezainfekowanych

obiektach. Aby uaktywnić tę opcję należy wpisać Yes.

Parametrowi temu odpowiada przełącznik linii poleceń -O[-].

Przełącznik -O włącza, natomiast -O- wyłącza zapisywanie informacji o niezainfekowanych obiektach.

• ShowPack — zapisywane będą informacje o archiwach i obiek-

tach spakowanych. Aby uaktywnić tę opcję należy wpisać Yes.

Parametrowi temu odpowiada przełącznik linii poleceń -K[-].

Przełącznik -K włącza, natomiast -K- wyłącza zapisywanie informacji o archiwach i obiektach spakowanych.

• Showpassworded — zapisywane będą informacje o archiwach

zabezpieczonych hasłem. Aby uaktywnić tę opcję należy wpisać Yes.

• ShowSuspicion — zapisywane będą informacje o podejrzanych

obiektach. Aby uaktywnić tę opcję należy wpisać Yes.

• Showwarning — zapisywane będą informacje o obiektach

prawdopodobnie zainfekowanych modyfikacjami znanych wirusów. Aby uaktywnić tę opcję należy wpisać Yes.

• Showcorrupted — zapisywane będą informacje o uszkodzonych

obiektach. Aby uaktywnić tę opcję należy wpisać Yes.

• Showunknown — zapisywane będą informacje o wykryciu nie-

znanych wirusów. Aby uaktywnić tę opcję należy wpisać Yes.

6060

Rozdział

6. Proces Daemon: Integrowanie

Proces Daemon: Integrowanie

6.6.

Proces Daemon: Integrowanie Proces Daemon: Integrowanie ochrony antywirusowej z

ochrony antywirusowej z

ochrony antywirusowej z ochrony antywirusowej z klientami

klientami

klientamiklientami

6.1. Cechy programu Daemon

Opis funkcji oraz możliwości programu.

Proces antywirusowy kavdaemon został stworzony w celu integracji ochrony antywirusowej z oprogramowaniem klienckim (na przykład Monitor) na komputerze pracującym pod kontrolą systemu operacyjnego Linux. Daemon działa jako proces systemowy i dziedziczy wszystkie funkcje programu Scanner, dlatego opis programu Scanner odnosi się również do programu Daemon.

W przeciwieństwie do programu Scanner, Daemon ładuje antywirusowe bazy danych do pamięci tylko raz, podczas pierwszego uruchomienia. Powoduje to znaczne zmniejszenie ilości czasu potrzebnego do wykonania testu. Cecha ta powoduje, że Daemon może być z powodzeniem wykorzystywany na serwerach pocztowych oraz WWW działających pod

6161

DAEMON

kontrolą systemu Linux. Wszystkie obiekty docierające do takich serwerów powinny być testowane na obecność wirusów.

Daemon posiada wszystkie funkcje programów antywirusowych znanych z innych platform i umożliwia wykrywanie wirusów we wszystkich typach plików (włącznie z archiwami, plikami spakowanymi oraz plikami poczty elektronicznej). Daemon udostępnia także mechanizm heurystycznego wykrywania wirusów oraz testowanie redundancyjne. Proces może pełnić funkcje serwera oraz klienta.

Instalacja, konfiguracja oraz uaktualnianie antywirusowych baz danych przebiega podobnie jak w przypadku programu Scanner. Różni się jedynie linia poleceń oraz zestaw dostępnych przełączników (patrz podrozdział 6.2).

6.2. Uruchamianie procesu Daemon

Linia poleceń programu Daemon. Przełączniki linii poleceń charakterystyczne dla procesu Daemon. Profile.

Daemon może być uruchomiony z poziomu linii poleceń, z pliku skryptowego lub poprzez programy użytkownika.

Jeżeli podczas uruchamiania program Daemon nie zlokalizuje pliku klucza, to uruchomi się w trybie demonstracyjnym, tzn. wyłączone zostaną opcje poszukiwania wirusów w archiwach oraz wiadomościach pocztowych, a także wyboru akcji przez użytkownika w przypadku wykrycia wirusa.

Ogólny format linii poleceń procesu Daemon wygląda następująco:

./kavdaemon [przełącznik1] [przełącznik 2] [...] [przełącznik #] [ścieżka]

gdzie

[przełącznik …] jest opcjonalnym przełącznikiem wiersza poleceń; [ścieżka] to opcjonalna ścieżka systemu Linux definiująca loka-

lizację do sprawdzenia.

6262

DAEMON

!"Znaczenie ścieżki w przypadku wiersza poleceń procesu Daemon

jest inne niż dla programu Scanner. W przypadku programu Scanner parametr ten określa lokalizację obiektów przeznaczonych do testowania, natomiast w przypadku procesu Daemon ścieżka określa listę lokalizacji obiektów przeznaczonych do testowania (przykładowo parametr Object znajdujący się w profilu). Obiekty przeznaczone do testowania definiowane są poprzez przełącznik -o (patrz poniżej).

Większość przełączników linii poleceń procesu Daemon jest identyczna jak w przypadku programu Scanner (patrz Dodatek B). Wyjątek stanowią przełączniki -D oraz -@!. Niektóre przełączniki przeznaczone są tylko dla linii poleceń procesu Daemon:

-q

zamyka proces po zakończeniu testowania i leczenia bez uruchamiania procesu demona. Przełącznik ten może być użyty tylko wtedy, gdy Deamon nie jest uruchomiony.

-k

zabija główny proces Daemon. Nie zaleca się korzystania z tego prze- łącznika.

-ka

zabija wszystkie uruchomione procesy Daemon (zarówno proces główny jak i procesy potomne).

-v

wyświetla numer wersji.

-o{ lista plików, katalogów lub dowiązań symbolicznych oddzielonych

dwukropkami}

testuje określone pliki, katalogi oraz dowiązania symboliczne. Jeżeli dostęp do obiektów nie będzie możliwy zostaną one pominięte.

-f= nazwa katalogu

tworzy w zdefiniowanym katalogu pliki AvpCtl oraz AvpPid. Jeżeli Daemon nie jest uruchomiony z poziomu użytkownika root, dostęp do niektórych plików może być zabroniony. W takim przypadku należy użyć przełącznika –f podczas uruchamiania procesu Daemon.

6363

DAEMON

-WU[=nazwa pliku tymczasowego]

definiuje plik tymczasowy, w którym Daemon będzie zapisywał rezultaty testu.

Podczas uruchamiania procesu Daemon inicjowane są dwa dodatkowe procesy: pierwszy obsługuje wywołania programów klienckich natomiast drugi opisuje rezultaty działania pierwszego procesu. Możliwe jest wyłą- czenie drugiego procesu.

-dl — wyłącza start drugiego procesu programu Daemon.

Linia poleceń programu Daemon wygląda następująco:

./kavdaemon /home -o{/home/my_mail} -A -K

Jeżeli Daemon nie wykryje drugiego aktywnego procesu Daemon, działa podobnie do programu Scanner (patrz podrozdział 4.2), po czym uruchamia proces Daemon. Dzieje się tak tylko wtedy, gdy nie użyto przełącznika

-q. Jeżeli przełącznik ten został podany w linii poleceń proces Daemon nie

zostanie uruchomiony. Po uruchomieniu procesu program Daemon łączy się z nim i używa tego

połączenia do przesyłania parametrów podawanych z poziomu linii poleceń. Następnie proces wykorzystuje połączenie do przesyłania rezultatów testowania. Gdy test zostanie zakończony program zrywa połączenie.

!"Aby program Daemon mógł się poprawnie uruchamiać plik inicjaliza-

cyjny AvpUnix.ini (patrz Dodatek B) musi znajdować się w tym samym katalogu co moduł Daemon. Jeżeli plik uruchamialny kavdaemon zostanie przeniesiony do innego katalogu, plik AvpUnix.ini musi być również skopiowany do tego samego katalogu i odpowiednio zredagowany.

!"Aby zopt ymalizować proces ładowania można ustalić priorytet pro-

cesu głównego oraz procesów potomnych. W tym celu należy zmienić wartości parametrów Father oraz Child znajdujące się w sekcji [Priority] profilu.

6464

DAEMON

6.3. Wywoływanie procesu z programu klienckiego

Jak wywołać proces z programu klienckiego? Przykład.

Aby wywołać istniejący proces Daemon z programu klienckiego należy:

1. Utworzyć gniazdko.

2. Połączyć gniazdko z programem Daemon.

3. Wpisać odpowiednią komendę do gniazdka. Format komendy jest następujący:

<flagi>data_i_czas:parametr_komendy

Pole <flagi> należy zastąpić jedną z poniższych wartości:

• 0—parametr_komendy przesyła nazwę pliku oraz

parametry linii poleceń. W najprostszym przypadku przesłana zostanie tylko nazwa pliku a komenda będzie miała następującą postać:

<0>27 Mar 13:40:11:/tmp/test.tgz. Jeżeli przesyłana będzie nazwa pliku oraz parametry linii poleceń format komendy będzie następujący:

<flagi>data_i_czas: 0xfeparametr1[|parametr2[|parametr3[…]]] 0xfeścieżka1[;ścieżka2[;ścieżka3[…]]]

gdzie:

° 0xfe oznacza początek sekcji; ° [parametrN] określa parametr linii poleceń (bez znaku

wiodącego „–„);

° ścieżkaN określa ścieżkę dostępu do obiektów

przeznaczonych do testu.

Ilość ścieżek i parametrów nie jest ograniczona.

6565

DAEMON

• 3 — parametr_komendy przesyła parametry pamięci

współdzielonej, w której zostały umieszczone testowane obiekty. Tryb ten wykorzystywany jest do testowania obiektów zanim zostaną one zapisane na dysku. W takim przypadku format komendy będzie następujący: <flags> data_i_czas:<przełącznik|rozmiar|>

gdzie:

° | jest znakiem oddzielającym sekcje; ° switch jest wartością pobraną przy użyciu funkcji

ftok();

° length jest rozmiarem pamięci współdzielonej.

!"Wartość 3 może być wykorzystywana tylko w serwerowej wersji

programu Daemon.

• 4 — wyświetla numer wersji.

4. Odczytać rezultaty testu z gniazdka. Rezultaty odczytywane są w postaci dwóch bajtów. Młodszy bajt zawiera standardowe kody wyjścia lub wartość 0x3f (jeżeli program kliencki musi przesłać dodatkowe informacje, które będą uwzględnione przez proces Daemon). Starszy bajt zawiera flagi definiujące późniejsze operacje.

Wartość 0x2 w starszym bajcie oznacza, że do odczytu muszą być wykorzystane 4 bajty zawierające dodatkowo rozmiar pamięci współdzielonej, w której znajduje się wyleczony obiekt. Wartość 0x2 może występować tylko wtedy, gdy podczas przesyłania danych flaga została zmieniona na 3 (lub 1), a kod wyjścia ma wartość 5. W takim przypadku konieczne będzie otwarcie pamięci współdzielonej i odczytanie z niej testowanego obiektu.

Wartość 0x1 w starszym bajcie oznacza, że do odczytu muszą być wykorzystane 4 bajty zawierające bufor raportu oraz jego rozmiar.

5. Usunąć gniazdko.

6666

DAEMON

!"Przykład wywoływania procesu Daemon (program

AvpDaemonClient) znajduje się w pakiecie dystrybucyjnym. Pakiet ten zawiera również program kliencki Monitor (patrz rozdział 8).

!"Przykłady oraz programy klienckie dostarczone są w postaci kodów

źródłowych zawierających opis metod użytych w celu wywołania

programu Daemon z poziomu oprogramowania klienckiego.

6767

Rozdział

7. Keeper: Wykrywanie i

Keeper: Wykrywanie i

7.7.

Keeper: Wykrywanie i Keeper: Wykrywanie i usuwanie wirusów w

usuwanie wirusów w

usuwanie wirusów w usuwanie wirusów w systemach pocztowych:

systemach pocztowych:

systemach pocztowych: systemach pocztowych: sendmail, qmail, Postfix oraz

sendmail, qmail, Postfix oraz

sendmail, qmail, Postfix oraz sendmail, qmail, Postfix oraz Exim

Exim

EximExim

7.1. Cechy programu Keeper

Opis funkcji oraz właściwości programu.

Keeper został zaprojektowany w celu wyszukiwania wirusów w przychodzących i wychodzących wiadomościach przesyłanych za pomocą protokołu SMTP, przetwarzania wszystkich wiadomości pocztowych i przesyłania ich do programu Daemon, który z kolei wykrywa i usuwa z nich wirusy.

6868

KEEPER

Obecnie istnieją cztery wersje programu Keeper przeznaczone dla nastę- pujących systemów poczty elektronicznej: sendmail, qmail, Postfix oraz Exim.

Niniejszy Podręcznik nie zawiera informacji o systemach poczty. Odpowiedzi na ewentualne pytania dotyczące tych serwerów należy szukać w odpowiedniej dokumentacji.

Po zainstalowaniu programu (patrz rozdział 2) należy zintegrować go z jednym z wymienionych powyżej systemów pocztowych i zdefiniować odpowiednie ustawienia (patrz podrozdział 7.6).

Keeper współdziała z procesem Daemon i spełnia następujące funkcje na serwerze:

• Przetwarza wszystkie przychodzące oraz wychodzące wiadomo-

ści pocztowe i przesyła je do procesu Daemon, który następnie

wyszukuje i usuwa z nich wirusy.

• Jeżeli wirus zostanie wykryty w wiadomości lub jej załączniku,

proces Daemon wysyła odpowiedni kod do programu Keeper który, w zależności od ustawień, może wykonać następujące operacje:

• Dla odbiorcy

° powiadamia odbiorcę o wykryciu zainfekowanej wia-

domości (patrz podrozdział 7.6.2.4.1);

° blokuje wiadomość i nie dostarcza jej do skrzynki

pocztowej (patrz podrozdział 7.6.2.4.2);

° przesyła zainfekowaną (patrz podrozdział 7.6.2.4.4)

lub wyleczoną (patrz podrozdział 7.6.2.4.3) wiadomości do skrzynki pocztowej.

• Dla administratora

—powiadamia administratora o

wykryciu zainfekowanej wiadomości i dostarcza ją do jego skrzynki pocztowej (patrz podrozdział 7.6.2.6).

• Dla nadawcy

—powiadamia nadawcę o dostarczeniu zainfekowanej wiadomości z jego skrzynki pocztowej (patrz podrozdział 7.6.2.7).

• Zapisuje informacje o wykonanej akcji do predefiniowanego pliku

(patrz podrozdział 7.6.4).

6969

KEEPER

Przygotowanie integracji Kaspersky Anti-Virus for Linux z systemem pocztowym (jednym z wyżej wymienionych) z wykorzystaniem programu Keeper nie powinno odbywać się podczas pracy tegoż systemu. Może to spowodować niepożądane konsekwencje.

7.2. Integrowanie Kaspersky AntiVirus for Linux z sendmail

Integracja krok po kroku.

Integracja Kaspersky Anti-Virus for Linux z systemem pocztowym sendmail może zostać zaimplementowana przez uruchomienie skryptu install- sendmail lub ręcznie.

Aby ręcznie zintegrować program Keeper z systemem pocztowym sendmail, należy wykonać następujące kroki:

1. Utworzyć plik sendmail.cf.listen z pliku .mc:

• skopiować plik keeper.m4 do katalogu */sendmail-

cf/mailer;

• przejść do katalogu */sendmail-cf/cf i utworzyć plik

sendmail.cf.listen wpisując w linii poleceń:

m4 -DKAV_LISTENER kaspersky-av.m4 > sendmail.cf.listen

Aby utworzyć plik konfiguracyjny sendmail.cf z pliku .mc zaleca się skorzystać z programu m4.

• skopiować plik sendmail.cf.listen do katalogu /etc/mail.

2. Wykorzystać WebTuner do zdefiniowania konfiguracji pro-

gramu Keeper:

7070

KEEPER

• Na stronie main (patrz podrozdział 11.10.2): ° określić następującą ścieżkę roboczą dla parame-

trów Sender mailer, Recipient mailer oraz Admin mailer:

smtp: (/usr/sbin/sendmail –bs –C /etc/mail/sendmail.cf);

° w polu tekstowym Hostname wpisać nazwę hosta

na którym będzie uruchamiany program Keeper;

° w polu tekstowym Keeper e-mail wpisać adres,

który będzie się pojawiał w polu From powiadomień.

• Na stronie groups (patrz podrozdział 11.10.3.1), wy-

brać odpowiednią grupę adresów użytkowników i przycisnąć przycisk properties.

• Na stronie administrator okna dialogowego (patrz

podrozdział 11.10.3.4), wpisać adres e-mail lub alias administratora w polu tekstowym Group administrator address.

3. Zdefiniować parametry komunikacji pomiędzy programem Keeper a procesem demona (więcej szczegółów znajduje się w podrozdziale 7.6.5).

4. Uruchomić dwa następujące procesy:

/usr/sbin/sendmail –bd –C /etc/mail/sendmail.cf.listen /usr/sbin/sendmail –q1m –C /ect/mail/sendmail.cf

!"Narzędzie instalacyjne (szczegóły - patrz rozdział 2) kopiuje wszyst-

kie pliki istotne dla procesu integracji programu Keeper z sendmail to następujących katalogów:

• /opt/AVP jest katalogiem dla plików pakietu Kaspersky Anti-

Virus for Linux.

• /opt/AVP/kavkeeper jest katalogiem plików programu Keeper.

• /opt/AVP/kavkeeper/sendmail-cf jest katalogiem zawierającym

pliki zaawansowanych oraz przykładowych ustawień.

Pliki w katalogu /opt/AVP/kavkeeper/sendmail-cf muszą być sko-

piowane do katalogu z plikami ustawień programu sendmail.

7171

KEEPER

7.3. Integrowanie Kaspersky AntiVirus for Linux z qmail

Integracja krok po kroku.

Integracja Kaspersky Anti-Virus for Linux z systemem pocztowym qmail może zostać zaimplementowana przez uruchomienie skryptu install-qmail lub ręcznie.

Keeper for qmail zastępuje program qmail-queue. Aby przesłać wiadomość i umieścić ją w kolejce, Keeper for qmail wywołuje oryginalny program qmail-queue.

Przed rozpoczęciem procedury integracji należy znać położenie systemu pocztowego qmail na serwerze. Zazwyczaj jest on ulokowany w katalogu /var/qmail. Trzeba także wiedzieć jak restartować system pocztowy.

Aby ręcznie zintegrować program Keeper z systemem pocztowym qmail, należy wykonać następujące kroki:

1. Zmienić nazwę pliku qmail-queue z katalogu /var/qmail/bin/ na

qmail-que.

2. Przekopiować plik qmail-queue z katalogu /opt/AVP/kavkeeper/ do katalogu /var/qmail/bin lub stworzyć odpowiednie dowiązanie symboliczne.

3. Przyznać następujące prawa dostępu do plików qmail-queue oraz qmail-que:

16 -rws—x—x 1 qmailq qmail 12688 Mar 24 13:56 qmail-que 316 –rwx—x—x 1 qmailq qmail 315612 Apr 14 11:29 qmail-queue

4. Wykorzystać WebTuner do zdefiniowania konfiguracji programu Keeper:

7272

KEEPER

• Na stronie main (patrz podrozdział 11.10.2): ° określić następującą ścieżkę roboczą dla parame-

trów Sender mailer, Recipient mailer oraz Admin mailer:

qmail:(/var/qmail/bin/qmail-que);

° w polu tekstowym Hostname wpisać nazwę hosta

na którym będzie uruchamiany program Keeper;

° w polu tekstowym Keeper e-mail wpisać adres,

który będzie się pojawiał w polu From powiadomień.

• Na stronie groups (patrz podrozdział 11.10.3.1), wy-

brać odpowiednią grupę adresów użytkowników i przycisnąć przycisk properties.

• Na stronie administrator okna dialogowego (patrz

podrozdział 11.10.3.4), wpisać adres e-mail lub alias administratora w polu tekstowym Group administrator

address.

5. Zdefiniować parametry komunikacji pomiędzy programem Keeper a procesem demona (więcej szczegółów znajduje się w podrozdziale 7.6.5).

6. Uruchomić ponownie system pocztowy.

7.4. Integrowanie Kaspersky AntiVirus for Linux z Postfix

Integracja krok po kroku.

Integracja Kaspersky Anti-Virus for Linux z systemem pocztowym Postfix może zostać zaimplementowana przez uruchomienie skryptu install-postfix lub ręcznie.

Aby proces integracji przeprowadzić ręcznie, należy uruchomić program WebTuner, który pozwoli na edycję pliku konfiguracyjnego programu

7373

KEEPER

Keeper. Więcej szczegółów na temat programu WebTuner zawartych jest w rozdziale 11.

Aby ręcznie zintegrować program Keeper z systemem pocztowym Postfix, należy wykonać następujące kroki:

1. Sprawdzić numer wersji systemu pocztowego Postfix. Numer wersji powinien być wyższy niż snapshot_20000529. Jeżeli jest niższy, należy pobrać odpowiednią wersję programu ze strony internetowej systemu pocztowego Postfix (www.postfix.org

2. Dodać poniższy wpis do pliku konfiguracyjnego main.cf programu Postfix:

content_filter = lmtp:localhost:10025

3. Dodać poniższe linie do pliku konfiguracyjnego master.cf:

localhost:10025 inet n n n 10 spawn user=filter argv=/opt/AVP/kavkeeper/kavkeeper

localhost:10026 inet n - n 10 smtpd -o content_filter= -o myhostname="$hostname

4. Utworzyć użytkownika filter wpisując polecenie: adduser filter

5. Utworzyć katalog domowy dla tego użytkownika wpisując następujące polecenia:

mkdir /var/spool/filter chown filter.filter /var/spool/filter

Przykładowy plik konfiguracyjny programu Postfix znajduje się w

podrozdziale 16.14 w Dodatku B.

6. Wykorzystać WebTuner do zdefiniowania konfiguracji programu Keeper:

• Na stronie main (patrz podrozdział 11.10.2): ° określić następującą ścieżkę roboczą dla parame-

trów Sender mailer, Recipient mailer oraz Admin mailer:

smtp: localhost:10026

7474

KEEPER

° w polu tekstowym Hostname wpisać nazwę hosta

na którym będzie uruchamiany program Keeper;

° w polu tekstowym Keeper e-mail wpisać adres,

który będzie się pojawiał w polu From powiadomień.

• Na stronie groups (patrz podrozdział 11.10.3.1), wy-

brać odpowiednią grupę adresów użytkowników i przycisnąć przycisk properties.

• Na stronie administrator okna dialogowego (patrz

podrozdział 11.10.3.4), wpisać adres e-mail lub alias administratora w polu tekstowym Group administrator

address.

7. Uruchomić ponownie system pocztowy.

7.5. Integrowanie Kaspersky AntiVirus for Linux z Exim

Integracja krok po kroku.

Integracja Kaspersky Anti-Virus for Linux z systemem pocztowym Exim może zostać zaimplementowana przez uruchomienie skryptu install-exim lub ręcznie.

Aby proces integracji przeprowadzić ręcznie, należy uruchomić program WebTuner, który pozwoli na edycję pliku konfiguracyjnego programu Keeper. Więcej szczegółów na temat programu WebTuner zawartych jest w rozdziale 11. System pocztowy Exim musi ponadto wspierać protokół Imtp (opcja TRANSPORT_LMTP=yes w pliku Local/Makefile podczas kompilacji systemu pocztowego Exim).

Aby ręcznie zintegrować program Keeper z systemem pocztowym Exim, należy wykonać następujące kroki:

1. Przekopiować plik konfiguracyjny (np. exim.conf) do pliku

exim.conf.listen.

7575

KEEPER

2. Zredagować plik exim.conf:

• dodać poniższą linię do sekcji TRANSPORT

CONFIGURATION:

kav_lmtp_transport: driver = lmtp command = /opt/AVP/kavkeeper/kavkeeper

• zdefiniować parametry lokalnego dostarczania poczty w

sekcji DIRECTORS CONFIGURATION:

localuser: transport=kav_lmtp_transport

• zdefiniować parametry zdalnego dostarczania poczty w

sekcji ROUTERS CONFIGURATION:

lookuphost: transport=kav_lmtp_transport

3. Wykorzystać WebTuner do zdefiniowania konfiguracji pro-

gramu Keeper:

• Na stronie main (patrz podrozdział 11.10.2): ° określić następującą ścieżkę roboczą dla parame-

trów Sender mailer, Recipient mailer oraz Admin mailer:

smtp: (/usr/sbin/exim –bs –C /etc/exim/exim.conf)

° w polu tekstowym Hostname wpisać nazwę hosta

na którym będzie uruchamiany program Keeper;

° w polu tekstowym Keeper e-mail wpisać adres,

który będzie się pojawiał w polu From powiadomień.

• Na stronie groups (patrz podrozdział 11.10.3.1), wy-

brać odpowiednią grupę adresów użytkowników i przycisnąć przycisk properties.

• Na stronie administrator okna dialogowego (patrz

podrozdział 11.10.3.4), wpisać adres e-mail lub alias administratora w polu tekstowym Group administrator

address.

7676

KEEPER

4. Uruchomić dwa następujące procesy:

/usr/sbin/exim –bd –C /etc/exim/exim.conf.listen /usr/sbin/exim –q1m –C /etc/exim/exim.conf

Jeżeli program ma zostać uruchomiony z prawami innego użytkownika, należy skompilować system pocztowy Exim ze zdefiniowanymi zmiennymi EXIM_GID oraz EXIM_UID (więcej szczegółów znajduje się w dokumentacji systemu pocztowego Exim)

7.6. Konfigurowanie programu Keeper

Zmiana konfiguracji programu Keeper.

7.6.1. Wprowadzenie

Keeper ładuje ustawienia z pliku inicjalizacyjnego. Może on być edytowany za pomocą programu WebTuner (patrz podrozdział 11.10). Aby to zrobić należy:

1. uruchomić program WebTuner (patrz podrozdział 11.4)

2. wybrać z listy głównego okna programów program Keeper

oraz użyć hiperłącza default config figuracyjne programu.

Opcje wymienione w tym oknie pozwalają na skonfigurowanie zasad działania różnych grup adresowych. Każda grupa adresowa ma swoją własną nazwę i zdefiniowaną listę przychodzących oraz wychodzących adresów. Można na przykład ustawić program tak, aby usuwał zainfekowane wiadomości z adresu user@domain.ru, oraz ignorować zainfekowane wiadomości z adresu admin@domain.ru.

Dla każdej grupy adresów można zdefiniować:

7777

, aby wyświetlić okno kon-

KEEPER

• Przetwarzanie zainfekowanych wiadomości

nie obsługiwać wiadomości z użyciem jednej z poniższych metod:

• informowanie odbiorcy o wykryciu zainfekowanej wiado-

mości (patrz podrozdział 7.6.2.4.1);

• blokowanie wiadomości przed dostarczeniem do

skrzynki pocztowej odbiorcy (patrz podrozdział 7.6.2.4.2);

• dostarczenie wyleczonej wiadomości do skrzynki

pocztowej odbiorcy (patrz podrozdział 7.6.2.4.3);

• przepuszczenie zainfekowanej wiadomości bez lecze-

nia do skrzynki pocztowej odbiorcy (patrz podrozdział 7.6.2.7).

• Filtrowanie wiadomości w zależności od jej załączników

podrozdział 7.6.2.5).

• Przesyłanie zainfekowanych wiadomości do administratora

(patrz podrozdział 7.6.2.6).

• Powiadamianie nadawcy o wykryciu zainfekowanej wiadomości

(patrz podrozdział 7.6.2.7).

????

Przykład 1. Administrator systemu chce zarządzać procesem leczenia.

. Program jest w sta-

(patrz

W takim wypadku program musi blokować zainfekowane wiadomości przed dostarczeniem do docelowych skrzynek pocztowych i przesyłać je do administratora. Program może także powiadamiać nadawcę o zainfekowanej wiadomości.

????

Przykład 2. Administrator systemu chce, by użytkownik otrzy- mywał wyleczoną wiadomość oraz chce być informowany o przetworzonych zainfekowanych wiadomościach.

W takim wypadku program musi dostarczać wyleczone wiadomości do docelowych skrzynek pocztowych oraz przesyłać kopię zainfekowanej wiadomości do administratora. Program może także powiadamiać nadawcę o zainfekowanej wiadomości.

Poniższe ustawienia są skumulowane ponieważ mają wpływ na wszystkie wiadomości:

7878

KEEPER

• parametry zawiadomień o wykrytych zainfekowanych obiektach

(patrz podrozdział 7.6.3).

• Parametry rejestrowania dzienników z działania (patrz podroz-

dział 7.6.4).

• Komunikacja pomiędzy programem Keeper a procesem demona

(patrz podrozdział 7.6.5).

Keeper działa z uprawnieniami użytkownika uruchamiającego system pocztowy (sendmail, qmail, Postfix or Exim). Jeżeli użytkownik ma prawo dostępu do plików systemu operacyjnego a pojawia się błąd podczas definiowania poprawnej ścieżki dostępu do pliku logów lub katalogu tymczasowego, może oznaczać to uszkodzenie systemu plików.

7.6.2. Przetwarzania zainfekowanych

wiadomości dla grupy adresów

7.6.2.1. Informacje podstawowe

Każda elektroniczna wiadomość pocztowa e-mail zawiera adresy nadawcy oraz odbiorcy. Mogą one służyć do definiowania zasad przetwarzania wia- domości, które definiuje się dla grup adresowych. Dlatego zawsze należy się upewnić czy adresy te zawarte są w odpowiednich grupach adresowych.

Grupy adresów i ich odpowiednie ustawienia definiuje się za pomocą programu WebTuner (patrz podrozdział 11.10) podczas konfiguracji programu Keeper. Więcej szczegółów o tym jak dodać adres do grupy znajduje się w podrozdziale 7.6.2.2.

Grupa adresowa, do której należy wiadomość musi zawierać oba adresy z pól From oraz To wiadomości. Program sprawdza listę grup w poszukiwa- niu adresu wiadomości. Gdy adresy (nadawcy i odbiorcy) zostaną zlokalizowane, program stosuje reguły przetwarzania wiadomości odpowiadające danej grupie adresów.

Poszukiwanie adresów wiadomości w grupie adresów jest kompatybilne z wyrażeniami regularnymi POSIX.

7979

KEEPER

Aby program zastosował specjalne zasady przetwarzania wiadomości na podstawie adresów nadawcy i odbiorcy, w pliku inicjalizacyjnym należy przed wszystkimi grupami adresowymi stworzyć sekcję grupy, dodać adresy do tej grupy i zdefiniować odpowiednie reguły przetwarzania dla niej (na przykład gdy potrzeba zastosować odpowiednie reguły dokładnie dla wiadomości dostarczanych z ег@localhost.pl do 123@localhost2.pl).

Grupa adresowa default musi obowiązkowo

znajdować się na liście grup

adresowych ponieważ definiuje domyślne ustawienia stosowane do wszystkich adresów nie zawartych w innych grupach. Grupa ta powinna znajdować się poniżej innych grup na liście.

Przetwarzanie wiadomości stosowane przez program Keeper wykonuje się według następującego schematu:

1. Program poszukuje adresu wiadomości w grupach adresowych zdefiniowanych przez uż ytkownika. Jeżeli adres zostanie znaleziony wiadomość jest przetwarzana zgodnie z regułami określonymi dla tej grupy. Gdy jakieś ustawienia przetwarzania nie są zdefiniowane dla grupy, program zastosuje ustawienia grupy default.

Jeżeli adresy nadawcy i odbiorcy zostaną wykryte w różnych grupach, program zastosuje reguły zdefiniowane w pierwszej z tych grup.

2. Jeżeli adres nie zostanie znaleziony w grupach adresowych użytkownika, program zastosuje domyślne reguły zdefiniowane dla grupy default.

Rysunek 1 przedstawia sekwencję działań programu Keeper.

8080

KEEPER

Rysunek 1. Przetwarzanie wiadomości pocztowej

7.6.2.2. Grupy adresów i adresy To/From

Aby program Keeper przetwarzał przychodzące i/lub wychodzące wiadomości należące do listy adresów konkretnego użytkownika, należy użyć programu WebTuner do stworzenia grupy adresów, dodać do niej wymagane adresy oraz zdefiniować reguły przetwarzania.

Aby utworzyć grupę adresową, należy wykonać następujące kroki:

1. Na stronie group (patrz podrozdział 11.10.3.1) nacisnąć przycisk add.

8181

KEEPER

2. Wprowadzić nazwę grupy w polu Name okna dialogowego Add new group.

3. Nacisnąć przycisk add. Nazwa grupy zostanie dodana do listy grup.

4. Nacisnąć przycisk properties.

5. W polu tekstowym Sender mask okna dialogowego Group: group_name wprowadzić maskę (lub listę masek) dla adresów z pola From, które mają być testowane na obecność wirusów.

6. W polu tekstowym Recipient mask wprowadzić maskę (lub listę masek) dla adresów z pola To, które mają być testowane na obecność wirusów.

!"Wprowadzane maski muszą być kompatybilne ze standardem wyra-

żeń regularnych POSIX.

Jeżeli jedno z pól: Recipient mask lub Sender mask nie będzie

zdefiniowane, program użyje maski .*@.* dla tego pola.

Jeżeli w obu polach Recipient mask oraz Sender mask parameters nie będą zdefiniowane żadne wartości, żadna wiadomość nie będzie przetwarzana zgodnie z regułami dla tej grupy. W ten sposób można wyłączyć przetwarzanie grupy adresów bez usuwania jej z listy. W każdym momencie można włączyć reguły tej grupy definiując odpowiednie maski adresów dla niej.

7.6.2.3. Sprawdzać albo nie sprawdzać...

Dla każdej wiadomości wysyłanej lub dostarczanej użytkownikowi można włączyć tryb przetwarzania wiadomości. Aby to zrobić należy:

1. Na stronie groups (patrz podrozdział 11.10.3.1) wybrać na- zwę odpowiedniej grupy i nacisnąć przycisk properties.

2. Na stronie masks okna dialogowego (patrz podrozdział 11.10.3.2) zaznaczyć opcję Check this group i nacisnąć przycisk accept w prawym górnym rogu.

Domyślnie wszystkie wiadomości odnoszące się do grupy

default są testowane na obecność wirusów.

8282

KEEPER

7.6.2.4. Definiowanie przetwarzania

wiadomości po procesie testowania

7.6.2.4.1. Powiadamianie odbiorcy

Aby skonfigurować program by powiadamiał odbiorcę o zainfekowanej wiadomości, należy wykonać następujące kroki:

1. Na stronie groups (patrz podrozdział 11.10.3.1) wybrać nazwę odpowiedniej grupy i nacisnąć przycisk properties.

2. Na stronie recipient okna dialogowego (patrz podroz- dział 11.10.3.6) zaznaczyć opcję Infected i nacisnąć przycisk accept w prawym górnym rogu.

3. Na stronie report (patrz podrozdział 11.10.6) wybrać recipient z listy odbiorców powiadomień i nacisnąć przy- cisk properties.

W oknie dialogowym należy zdefiniować wymagane ustawienia i wprowadzić tekst powiadomienia (więcej szczegółów znajduje się w podrozdziale 11.10.6.4) i nacisnąć przycisk accept.

Add report dla obiektu

Można zdefiniować następujące typy powiadomień wysyłanych do odbiorcy wiadomości:

• powiadomienie o zainfekowanej wiadomości (patrz Rysunek 2);

• powiadomienie o zainfekowanej wiadomości z dołączoną wiado-

mością (patrz Rysunek 3 i Rysunek 4);

• powiadomienie o zainfekowanej wiadomości z dołączoną wyle-

czoną (jeżeli jest to możliwe) wiadomością (patrz Rysunek 5 i Rysunek 6).

Aby wysłać wyłącznie powiadomienie należy

zaznaczyć opcję

recipient i wybrać opcję Remove z odpowiadającej im rozwijanej listy Object action. Program wyśle powiadomienie do odbiorcy bez

dołączania zainfekowanej wiadomości.

Add report dla obiektów typu Infected na stronie

8383

KEEPER

Rysunek 2. Powiadomienie wysłane do odbiorcy

Aby wysłać powiadomienie o zainfekowanej wiadomości z dołą- czoną do niego wiadomością należy

zaznaczyć opcję

Add report dla obiektów typu Infected na stronie recipient i wybrać opcję Unchanged z odpowiadającej im rozwijanej listy Object action. Program wyśle powiadomienie do odbiorcy z dołączoną zainfekowaną wiadomością.

8484

KEEPER

Rysunek 3. Powiadomienie z dołączoną wiadomością wysłane do odbiorcy

Rysunek 4. Zainfekowana wiadomość dołączona do powiadomienia

Aby wysłać powiadomienie o zainfekowanej wiadomości z dołą- czoną wyleczoną (jeżeli to możliwe) wiadomością należy wykonać następujące kroki:

1. Na stronie recipient zaznaczyć opcję

Add report dla obiektów typu Infected i wybrać opcję Remove z odpowiadającej im rozwijanej listy Object action. Program usunie zainfekowany obiekt z wiadomości.

8585

KEEPER

2. Zaznaczyć opcję Add report dla obiektów typu Cured i wybrać opcję Cured z odpowiadającej im rozwijanej listy Object action.

Program wyśle powiadomienie to odbiorcy z dołączoną wyleczoną wiadomością. Jeżeli obiekt nie będzie mógł być wyleczony będzie on usunięty.

Rysunek 5. Powiadomienie wysłane do nadawcy

Rysunek 6. Wyleczona wiadomość dołączona do powiadomienia

8686

KEEPER

7.6.2.4.2. Blokowanie zainfekowanych wiadomości

W niektórych przypadkach administrator może chcieć zablokować przy- chodzące zainfekowane wiadomości.

Aby skonfigurować program by blokował wszystkie przychodzące zainfekowane wiadomości należy wykonać następujące kroki:

1. Na stronie masks (patrz podrozdział 11.10.3.2) zaznaczyć opcję adresów.

2. Na stronie administrator (patrz podrozdział 11.10.3.4) zaznaczyć opcję obiektów typu Infected z odpowiadającej im rozwijanej listy Object action.

3. Na stronie report włączyć powiadamianie administratora (więcej szczegółów znajduje się w podrozdziale 11.10.6)

4. Na stronie recipient (patrz podrozdział 11.10.3.6) zazna- czyć opcję wybrać opcję Unchanged z odpowiadającej im rozwijanej listy Object action.

Check this group dla zaznaczonej grupy

Isolator oraz Send notification dla

Block mail dla obiektów typu Infected i

7.6.2.4.3. Dostarczanie wyłącznie wyleczonych wiadomości

Aby skonfigurować program by dostarczał wyleczone wiadomo- ści do docelowych skrzynek pocztowych i blokował wiadomości

których wyleczenie nie powiodło się należy wykonać następu- jące kroki:

1. Na stronie masks (patrz podrozdział 11.10.3.2) zaznaczyć

opcję

2. Na stronie administrator(patrz podrozdział 11.10.3.4):

• zaznaczyć opcję

Check this group dla wybranej grupy adresów.

Isolator dla obiektów typu Infected i wybrać opcję Unchanged z odpowiadającej im rozwijanej listy Object action;

8787

KEEPER

• zaznaczyć opcję

Cured i wybrać opcję Cured z odpowiadającej im rozwijanej listy Object action;

3. Na stronie recipient:

• zaznaczyć opcję

Infected i wybrać opcję Unchanged z odpowiadającej im rozwijanej listy Object action;

• zaznaczyć opcję

Cured i wybrać opcję Cured z odpowiadającej im rozwijanej listy Object action.

Add report dla obiektów typu

Block mail dla obiektów typu

Add report dla obiektów typu

7.6.2.4.4. Przepuszczanie zainfekowanych wiado-

mości

Administrator może skonfigurować program Keeper tak, by ten przepusz- czał zainfekowane wiadomości do odbiorców. Taka możliwość jest użyteczna jeżeli administrator chce by wiadomość dotarła bez żadnego opóźnienia i jest pewny, że będzie ona wyleczona na komputerze użytkownika.

Aby skonfigurować program by przepuszczał wiadomości bez ich sprawdzania, należy wykonać następujące kroki:

1. Na stronie masks odznaczyć opcję

dla wybranej grupy.

Check this group

2. Na stronie recipient zaznaczyć opcję obiektów typu Infected i wybrać opcję Unchanged z odpowiadającej im rozwijanej listy Object action.

Add report dla

7.6.2.5. Filtrowanie poczty ze względu na dołączone pliki

Można włączyć dodatkowe filtrowanie wiadomości ze względu na typ i rozmiar dołączonego pliku.

8888

KEEPER

Aby włączyć filtrowanie ze względu na typ dołączonego pliku, należy wykonać następujące kroki:

1. Na stronie filters (patrz podrozdział 11.10.3.3) wprowadzić

łańcuchy tekstowe *.bmp oraz image/* odpowiednio w polach

Attach file mask i Attach mime-type mask. W ten sposób wyznaczamy obiekty, które będą przetwarzane z użyciem reguł zdefiniowanych dla filtrowanych plików.

2. W polach tekstowych Attach file i Attach mime-type

zdefiniować typy pliku oraz MIME (odpowiednio) wyłączone z procesu testowania.

Aby włączyć filtrowanie ze względu na rozmiar załącznika należy

wprowadzić maksymalny i minimalny rozmiar pliku do skanowania odpowiednio w polach tekstowych Min attach size(Kb) and Max attach size(Kb).

Jeżeli rozmiar załącznika jest mniejszy niż wartość Min attach

size (Kb) lub przekracza Max attach size (Kb), wiadomość jest dostarczana do odbiorcy bez testowania!

Przetwarzając pliki spełniające warunki filtrowania, Keeper postępuje zgodnie z regułami zdefiniowanymi na stronach administrator, sender i recipient dla obiektów typu Filtered (więcej szczegółów znajduje się w podrozdziałach 11.10.3.4 i 11.10.3.6).

7.6.2.6. Dostarczanie zainfekowanych wiadomości do administratora

Aby skonfigurować program by przesyłał wykryte zainfekowane wiadomości do administratora, należy wykonać następujące kroki:

1. Na stronie masks (patrz podrozdział 11.10.3.2) zaznaczyć

opcję

2. Na stronie administrator(patrz podrozdział 11.10.3.4):

Check this group dla wybranej grupy adresów.

8989

KEEPER

• zaznaczyć opcję

Infected i wybrać opcję Unchanged z odpowiadającej im rozwijanej listy Object action;

• wprowadzić adres e-mail lub alias administratora w polu

tekstowym Group administrator address;

• zdefiniować pełną ścieżkę dostępu do katalogu kwaran-

tanny w polu Isolator path i nacisnąć przycisk accept w prawym górnym rogu.

Administrator będzie powiadomiony o wszystkich wiadomościach od/do adresów zawartych w grupie adresów. Program utworzy raport zawierający informacje o wykrytych wirusach i dołączy do niego zainfekowaną wiadomość.

Send notification dla obiektów typu

Rysunek 7. Powiadomienie z zainfekowaną wiadomością wysłane do

administratora

7.6.2.7. Powiadamianie nadawcy

Aby powiadomić nadawcę o zainfekowanej wiadomości dostarczonej z jego skrzynki pocztowej, należy wykonać następujące kroki:

1. Na stronie masks (patrz podrozdział 11.10.3.2) zaznaczyć

opcję

Check this group dla wybranej grupy adresów.

9090

KEEPER

2. Na stronie sender zaznaczyć opcję dla obiektów typu Infected i wybrać opcję None z odpowiadającej im rozwijanej listy Object action;

Nadawca zainfekowanej wiadomości zostanie powiadomiony o wirusie wykrytym w jego wiadomości bez informacji czy wiadomość została wyleczona czy nie.

Rysunek 8. Powiadomienie dla nadawcy o wysłaniu przez niego zainfekowanej

wiadomości

Send notification

7.6.3. Definiowanie atrybutów powiadomienia

Program Keeper umożliwia wysyłanie powiadomień o zainfekowanych wiadomościach do odbiorcy, nadawcy i administratora.

Aby zdefiniować ustawienia powiadamiania należy użyć opcji dostępnych na stronie report programu WebTuner (więcej szczegółów znajduje się w podrozdziale (11.10.6).

7.6.4. Log

Program Keeper może być skonfigurowany do zapisywania w raporcie wszystkich akcji stosowanych do wiadomości pocztowych. Aby zdefiniować ustawienia trybu raportowania należy użyć opcji dostępnych na stronie log

9191

KEEPER

programu WebTuner (więcej szczegółów znajduje się w podrozdziale 11.10.5).

Program Keeper nie zapisuje w raporcie informacji o wykrytych wirusach i statystykach sprawdzania. Tego typu informacje znajdują się logach programu Scanner i Daemon.

7.6.5. Komunikacja pomiędzy programem Keeper a procesem demona

Aby zdefiniować komunikację pomiędzy programem Keeper a procesem kavdaemon, należy użyć opcji dostępnych w sekcji Daemon connect na stronie main programu WebTuner (więcej szczegółów znajduje się w podrozdziale 11.6.2).

7.7. Uruchamianie programu

Keeper

Jak uruchomić program Keeper?

Keeper może być uruchomiony z linii poleceń za pomocą polecenia:

./kavkeeper [przełącznik1] [przełącznik2] […] [przełącznikN]

gdzie [przełącznikN] jest opcjonalnym przełącznikiem linii poleceń programu Keeper.

Jeżeli Keeper został uruchomiony bez żadnych przełączników w linii poleceń, program załaduje ustawienia z domyślnej bazy ustawień defUnix. Aby zmienić te ustawienia należy użyć programu WebTuner (więcej szczegółów znajduje się w podrozdziale 11.10).

Dostępne są następujące przełączniki linii poleceń:

9292

–с nazwa_bazy_danych

uruchamia program Keeper ze zdefiniowaną bazą ustawień

–h

wyświetla listę przełączników linii poleceń.

–v

wyświetla numer wersji programu.

KEEPER

9393

Rozdział

8. Anti

Anti----Virus Monitor:

8.8.

AntiAnti antywirusowe monitorowanie

antywirusowe monitorowanie

antywirusowe monitorowanie antywirusowe monitorowanie systemu

systemu

systemusystemu

8.1. Możliwości i funkcje

Funkcje i możliwości programu Monitor.

Virus Monitor:

Virus Monitor: Virus Monitor:

Monitor został stworzony w celu poszukiwania wirusów w plikach podczas każdorazowej operacji ich otwarcia, zapisu czy wykonywania. Program obsługuje pliki systemu Linux, FTP, HTTP, HTTP Proxy, POP3, Samba i innych serwerów sieciowych, których systemy plików znajdują się na lokalnym komputerze.

Gdy program jest zainstalowany (patrz podrozdział 8.2.1), skonfigurowany (patrz podrozdział 8.2.2) i uruchomiony (patrz podrozdział 8.3) może on spełniać następujące funkcje:

• Zapobiegać otwarciu, uruchomieniu lub zapisaniu zainfekowa-

nego pliku na lokalnym i zamontowanym systemie plików lokalnego komputera.

9494

MONITOR

• Zapisywać wyniki wykonywanych działań do pliku logów.

!"Monitor jest klientem procesu Daemon, który musi być zainstalo-

wany i skonfigurowany aby Monitor mógł być uruchomiony.

8.2. Kompilacja i konfiguracja

Kompilacja antywirusowego modułu jądra Linux i monitora antywirusowego. Edycja pliku konfiguracyjnego programu Monitor.

8.2.1. Kompilacja programu Monitor

Aby włączyć funkcję monitorowania otwieranych, zapisywanych lub wyko- nywanych plików należy najpierw zainstalować i skompilować antywirusowy moduł jądra systemu Linux. Moduł ten zwany klmon jest dostarczany razem z programem Monitor.

Podstawową cechą tego modułu jest jego konstrukcja, która pozwala na uruchomienie i zatrzymanie monitora antywirusowego bez restartu systemu Linux.

Monitor spełnia swoją funkcję wyłącznie w połączeniu z

antywirusowym modułem klmon i programem Daemon.

Rysunek 9 przestawia proces antywirusowego monitorowania systemu plików Linux.

Rysunek 9. Proces monitorowania

9595

MONITOR

Zaraz przed otwarciem, zapisaniem lub wykonaniem plik w systemie plików Linux jest interpretowany przez moduł antywirusowy i przesyłany do programu Monitor. Monitor przetwarza plik i przekazuje jego nazwę do procesu demona, który sprawdza plik w poszukiwaniu wirusów. Jeżeli plik nie jest zainfekowany, Daemon zwraca odpowiedni kod do programu Monitor, który następnie informuje moduł antywirusowy o udzieleniu pozwolenia na pracę z tym plikiem. W przypadku gdy plik jest zainfekowany, proces demon zwraca kod błędu i Monitor zwalnia moduł antywirusowy z pracy z tym plikiem. Plik jest przejmowany przez proces demona stosujący zdefiniowane wcześniej ustawienia. Jak widać jest to łańcuch połączonych programów, w którym każdy komponent nie może spełniać swoich funkcji bez innych.

Antywirusowy moduł klmon oraz Monitor są dostarczane w postaci kodów źródłowych, dlatego też przed uruchomieniem muszą zostać skompilowane.

Po instalacji (patrz rozdział 2) źródła programu Monitor oraz podkatalog module.linux zawierający kod źródłowy modułu antywirusowego znajdują się w katalogu kavmonitor.

Wyłącznie administrator (użytkownik root) jest uprawniony do kompilowania oraz instalowania modułu antywirusowego.

Aby zainstalować i skompilować moduł antywirusowy oraz program Monitor, należy wykonać następujące kroki:

1. Za pomocą komendy cd przejść do katalogu zawierającego

kody źródłowe modułu antywirusowego. Na przykład: cd /opt/AVP/kavmonitor/module.linux

2. Skompilować moduł za pomocą komendy make. Proces kompilacji będzie wyświetlany na ekranie.

Moduł jądra musi zostać skompilowany w systemie operacyjnym Linux na którym będzie uruchomiony.

Należy zwrócić uwagę, że moduł antywirusowy musi odpowiadać wersji jądra, ponieważ użycie niepoprawnego modułu może spowo- dować zniszczenie systemu. Aby wyświetlić numer wersji jądra systemu Linux, należy wpisać w linii poleceń komendę uname –a. Jeżeli jądro systemu Linux zostało uaktualnione, należy ponownie skompilować moduł antywirusowy.

9696

MONITOR

3. Aby system operacyjny automatycznie uruchamiał moduł, należy dodać plik zawierający linię insmod <nazwa_pliku> (gdzie <nazwa_pliku> jest pełną ścieżką dostępu do wykonywalnego pliku modułu) do odpowiedniego poziomu startowego. Na przykład: insmod monitor-2.2.18.о

4. Za pomocą komendy cd przejść do katalogu z kodem źródłowym monitora. Na przykład cd /opt/AVP/kavmonitor

5. Skompilować Monitor używając komendy make.

8.2.2. Konfigurowanie programu Monitor

Program Monitor można skonfigurować zmieniając jego ustawienia w pliku konfiguracyjnym monitor.conf. Edytując ten plik można:

• Zdefiniować parametry wykonywania się programu.

• Zdefiniować tryb raportowania oraz ścieżkę do pliku raportu

zawierającego wyniki działania programu.

Plik konfiguracyjny zawiera dwie sekcje: sekcję Report file, w której można zdefiniować tryb raportowania, oraz sekcję Options, w której można zdefiniować parametry działania programu.

Podczas przetwarzania i zapisywania pliku na dysk, Monitor zwraca odpowiedni kod wyjścia. Jednakże wiele programów nie przetwarza kodów wyjścia funkcji zamykających plik i kontynuują obsługę zainfekowanych plików. Aby zapobiec takim sytuacjom, zaleca się użycie programu Monitor do obsługi zainfekowanych obiektów.

Aby zdefiniować sposób reakcji monitora na zainfekowane pliki, należy wpisać jedną z poniższych opcji do linii WriteInfedtedAction w sekcji Options:

• remove— usuń plik;

• rename— zmień nazwę pliku przez dodanie łańcucha .infected

do jego rozszerzenia;

• none— zignoruj plik. Jest to domyślna wartość.

9797

MONITOR

Linia w tej sekcji może wyglądać następująco: WriteInfedtedAction none

System często tworzy, zapisuje i wykonuje pliki, które na pewno nie zawie- rają wirusów (na przykład pliki logów oraz pliki w katalogu bin), a ich testowanie tylko zwalnia szybkość działania systemu. Dlatego zalecane jest wyłączyć te pliki z procesu monitorowania.

Aby wykluczyć niektóre pliki z obiektów, które mają być sprawdzane podczas otwierania, zapisywania lub uruchamiania należy

w sekcji Options pliku konfiguracyjnego zdefiniować wartości nastę- pujących linii:

• OpenExcludeMask— ścieżka do katalogu z plikami, które mają być

ignorowane przy otwieraniu. Można zdefiniować więcej niż jedną ścieżkę, rozdzielając poszczególne wpisy dwukropkami. Na przykład:

OpenExcludeMask /etc:/var/log:/usr/include:/lib:/usr/lib

• WriteExcludeMask— ścieżka do katalogu z plikami, które mają być

ignorowane przy zapisywaniu. Można zdefiniować więcej niż jedną ścieżkę, rozdzielając poszczególne wpisy dwukropkami. Na przykład:

WriteExcludeMask /etc:/var/log

• ExecExcludeMask— ścieżka do katalogu z plikami, które mają być

ignorowane przy wykonywaniu. Można zdefiniować więcej niż jedną ścieżkę, rozdzielając poszczególne wpisy dwukropkami. Na przykład:

ExecExcludeMask /usr/bin:/bin:/sbin

Ustawienia te będą także dotyczyć podkatalogów zawartych w

katalogach zdefiniowanych w powyższych liniach.

Niektóre pliki, które są otwierane bardzo często, są za każdym razem testowane w poszukiwaniu wirusów. Może to w spowodować istotny spadek komfortu i wydajności pracy użytkownika. Aby rozwiązać ten problem została wprowadzona podręczna pamięć do przechowywania nazw tych plików oraz czasu ich ostatniego sprawdzania. W ten sposób, przed poszukiwaniem wirusów w pliku, Monitor poszukuje dokładniejszych informacji o pliku w pamięci podręcznej. Przyspiesza to proces

9898

MONITOR

sprawdzania, choć trzeba pamiętać, że zbyt dużo plików w pamięci podręcznej może spowolnić działanie programu (gdy czas potrzebny na testowanie plików jest równy czasowi przeszukiwania pamięci podręcznej).

Aby zdefiniować liczbę plików skanowanych tylko podczas ich pierwszego otwarcia należy wprowadzić odpowiednią wartość w linii CacheSize sekcji Options. Na przykład:

CacheSize 2500

Wartość ta zależy od wydajności komputera i powinna zawierać się

w przedziale pomiędzy 500 a 5000.

Można zredukować czas testowania plików przez zwiększenie liczby plików przetwarzanych jednocześnie. Aby nie spowalniać wydajności systemu nie należy skanować więcej jak 5 do 15 plików jednocześnie

Aby zdefiniować maksymalną liczbę jednocześnie skanowanych plików należy:

wpisać wymaganą ich liczbę do linii MaxConcurrentCheck. Na przykład: MaxConcurrentChecks 10

Aby włączyć opcję raportowania błędów należy: wpisać OK do linii Warnings sekcji Options.

Aby zdefiniować tryb raportowania działania programu należy:

w sekcji Report file pliku konfiguracyjnego nadać odpowiednie wartości następującym liniom:

• LogFile—ścieżka dostępu do pliku raportu. Na przykład:

LogFile /tmp/KasperskyMonitor.log

Aby program zapisywał w pliku raportu wszystkie rezultaty działania,

należy zdefiniować pełną ścieżkę dostępu do tego pliku. W przeciwnym wypadku Monitor wcale go nie utworzy.

• Append— aby nowy raport był dopisywany do już istniejącego

pliku należy wpisać Yes. Aby plik był tworzony na nowo za każ- dym razem, należy wpisać No.

9999

Kaspersky lab ANTI-VIRUS 4.0 for Linux Server User Manual [pl]

Specifications and Main Features

Frequently Asked Questions

User Manual