Kaspersky lab ANTI-VIRUS 4.0 for Linux Workstation User Manual [pl]

KASPERSKY LAB
Kaspersky Anti-Virus for Linux Workstation
PODRĘCZNIK UŻYTKOWNIKA
KASPERSKY ANTI-VIRUS FOR LINUX WORKSTATION
Podręcznik Użytkownika
Podręcznik UżytkownikaPodręcznik Użytkownika
¤ Kaspersky Lab Polska
Tel. (34) 368 18 14 • Fax. (34) 368 18 15
http://www.kaspersky.pl
Marzec 2002
1111
Spis treści
1.KASPERSKYTM ANTI-VIRUS FOR LINUX WORKSTATION ...................7
1.1. Wstęp ..........................................................................................7
1.2. Pakiet dystrybucyjny...................................................................9
1.2.1. Elementy pakietu dystrybucyjnego.......................................9
1.2.2. Umowa Licencyjna................................................................9
1.2.3. Karta rejestracyjna ..............................................................10
1.3. Pomoc techniczna ....................................................................10
1.4. Informacje zawarte w tym podręczniku ...................................11
1.5. Symbole użyte w dokumentacji................................................11
2.INSTALACJA KASPERSKY ANTI-VIRUS FOR LINUX..........................13
2.1. Wymagania systemowe ...........................................................13
2.2. Tworzenie kopii zapasowej dyskietek......................................14
2.3. Instalacja krok po kroku............................................................14
2.3.1. … z użyciem narzędzia instalacyjnego..............................14
2.3.2. … bez pomocy narzędzia instalującego ............................15
2.4. Przygotowanie do uruchomienia..............................................16
2.4.1. Redagowanie pliku .ini ........................................................16
2.4.2. Redagowanie ścieżki dostępu do plików tymczasowych..18
2.4.3. Dostosowywanie oprogramowania do indywidualnych
potrzeb .................................................................................18
3.URUCHAMIANIE KASPERSKY ANTI-VIRUS FOR LINUX....................20
3.1. Modyfikowanie ustawień testowania .......................................20
3.2. Uruchamianie testu...................................................................21
3.3. Uruchamianie uaktualniania antywirusowych baz danych.....23
4.PROGRAM SCANNER: TESTOWANIE I LECZENIE.............................24
4.1. Uruchamianie programu Scanner............................................24
4.2. Wyszukiwanie i usuwanie wirusów ..........................................26
2222
SPIS TREŚ CI
4.2.1. Ładowanie skanera antywirusowego.................................26
4.2.2. Obsługa zainfekowanych obiektów....................................27
4.2.3. Obsługa uszkodzonych obiektów.......................................30
4.2.4. Obsługa podejrzanych obiektów ........................................31
4.3.
5.SCANNER ORAZ DAEMON: KORZYSTANIE Z PRZEŁĄCZNIKÓW
ORAZ PROFILI....................................................................................33
5.1.
5.2. Jak zmieniać ustawienia?.........................................................34
5.3. Konfigurowanie lokalizacji obiektów przeznaczonych do
5.3.1. Definiowanie lokalizacji obiektów przeznaczonych do
5.3.2. Definiowanie obiektów przeznaczonych do testowania....37
Przeglądanie statystyk dotyczących wydajności.....................31
Ustawienia testowania..............................................................33
testowania .................................................................................35
testowania............................................................................35
5.3.2.1. Typy obiektów.....................................................................37
5.3.2.2. Sektory
5.3.2.3.
5.3.2.4. Spakowane pliki uruchamialne .....................................40
5.3.2.5. Archiwa
Pliki.........................................................................................38
..................................................................................37
.................................................................................41
5.3.2.6. Pocztowe bazy danych oraz pocztowe formaty
tekstowe
5.3.2.7. Osadzone obiekty OLE
5.3.3. Definiowanie reakcji na wystąpienie zainfekowanych,
podejrzanych oraz uszkodzonych obiektów ......................44
5.3.4.
5.4. Ustawienia łączne lokalizacji obiektów przeznaczonych do
5.4.1. Ustawienia łączne ...............................................................48
5.4.2.
5.4.3.
Definiowanie wykorzystania zaawansowanych narzędzi
testujących...........................................................................46
testowania .................................................................................48
Definiowanie ustawień testu oraz działania: Scanner oraz
Daemon ...............................................................................49
Definiowanie reakcji na wystąpienie zainfekowanych i
podejrzanych obiektów .......................................................53
...............................................................................42
...................................................43
3333
SPIS TREŚ CI
5.4.4. Definiowanie ustawień raportu ...........................................55
6.PROCES DAEMON: INTEGROWANIE OCHRONY ANTYWIRUSOWEJ
Z KLIENTAMI ......................................................................................59
6.1. Cechy programu Daemon........................................................59
6.2. Uruchamianie procesu Daemon ..............................................60
6.3.
7.ANTI-VIRUS MONITOR: ANTYWIRUSOWE MONITOROWANIE
SYSTEMU............................................................................................66
7.1. Możliwości i funkcje ..................................................................66
7.2.
7.2.1. Kompilacja programu Monitor ............................................67
7.2.2. Konfigurowanie programu Monitor .....................................69
7.3. Uruchamianie programu Monitor .............................................72
7.4.
7.5. Problemy i ich rozwiązywanie ..................................................73
8.SLOGAN: PRZETWARZANIE I SUMOWANIE RAPORTÓW................76
8.1. Możliwości i funkcje ..................................................................76
8.2. Uruchamianie programu Slogan..............................................77
8.3. Slogan w trybie monitorowania czasu rzeczywistego.............79
Wywoływanie procesu z programu klienckiego ......................63
Kompilacja i konfiguracja..........................................................67
Przeglądanie rezultatów działania ...........................................73
9.TUNER: KONFIGUROWANIE PROGRAMÓW SCANNER I DAEMON82
9.1. Możliwości i funkcje ..................................................................82
9.2. Uruchamianie programu Tuner................................................83
9.3. Interfejs......................................................................................84
9.4. Tworzenie, edytowanie i zapisywanie profilu ..........................85
9.5. Strona Location.........................................................................87
9.5.1. Definiowanie lokalizacji przeznaczonej do testowania......87
9.5.2.
9.5.2.1.
Definiowanie ustawień skanowania dla pojedynczego
katalogu ...............................................................................89
Okno Property katalogu: wybieranie wymaganego
katalogu................................................................................89
4444
SPIS TREŚ CI
9.5.2.2. Okno Property katalogu: obiekty przeznaczone do
testowania............................................................................90
9.5.2.3. Okno Property katalogu: definiowanie akcji
antywirusowych..................................................................93
9.5.2.4. Okno Property katalogu: definiowanie użycie zaawansowanych narzędzi skanowania.
Options. ................................................................................94
9.6. Strona Opt i ons .......................................................................95
9.7. Str o n a R e p or t .....................................................................98
9.8. Strona Ac t i onW i t h ..............................................................101
9.9. Strona Cu s t omi z e ...............................................................102
Strona
10.UPDATER: UAKTUALNIANIE BAZ DEFINICJI WIRUSÓW..............105
10.1. Właściwości i funkcje ..............................................................105
10.2.
10.3. Jak uaktualniać bazy antywirusowe? ....................................107
10.3.1. Uaktualnianie przez Internet.............................................107
10.3.2. Uaktualnianie z katalogu sieciowego ...............................108
10.3.3. Uaktualnianie z archiwum.................................................108
10.4. Zapisywanie raportu do pliku..................................................109
11.INSPECTOR: MONITOROWANIE INTEGRALNOŚCI SYSTEMU
PLIKÓW .............................................................................................111
11.1.
11.2. Uruchamianie programu Inspector ........................................112
11.2.1. Wiersz poleceń programu.................................................112
11.2.2. Definiowanie lokalizacji do sprawdzania..........................114
Uruchamianie programu Updater ..........................................106
Cechy i funkcje........................................................................111
11.2.3. Obsługa nowych i zmodyfikowanych plików....................115
11.2.4. Zapisywanie raportu z działania programu ......................117
12.CONTROL CENTRE: PLANOWANIE DZIAŁANIA KASPERSKY ANTI-
VIRUS FOR LINUX ...........................................................................119
12.1.
12.2. Uruchamianie Control Centre.................................................119
12.3. Planowanie działania zadań komponentów pakietu.............120
Cechy i funkcje........................................................................119
5555
SPIS TREŚ CI
12.4. Zapisywanie raportu z działania programu............................125
13.DODATEK A. GŁÓWNE PLIKI.............................................................126
14.DODATEK B. UZUPEŁNIAJĄCE SZCZEGÓŁY O KASPERSKY ANTI-
VIRUS FOR LINUX ...........................................................................127
14.1. Pliki z ustawieniami programu................................................127
14.2.
14.3. Scanner oraz Daemon: profil (defUnix.prf)............................129
14.4. Scanner oraz Daemon: przełączniki linii poleceń .................140
14.5. Scanner oraz Daemon: zgłaszane komunikaty ....................146
14.6. Scanner oraz Daemon: kody wyjścia ....................................148
14.7. Slogan: szablony raportów.....................................................149
14.8. Inspector: przełączniki linii poleceń........................................152
14.9.
14.10. Monitor: plik konfiguracyjny (monitor.conf) ............................159
14.11.
Scanner i Daemon: plik inicjalizacyjny (AvpUnix.ini).............127
Control Centre: przełączniki linii poleceń...............................156
Updater: przełączniki wiersza poleceń ..................................162
14.12. Installer: przełączniki linii poleceń ..........................................165
15.DODATEK C. KASPERSKY LAB ........................................................167
15.1. Jak się z nami skontaktować?................................................167
6666
Uwaga! Nowe wirus
y
ł
pojawiają się codziennie, dlatego w celu zabezpieczenia systemu należy uaktualniać bazy antywirusowe codziennie (patrz poniżej). Należy także pamiętać o uaktualnieniu baz natychmiast po zainstalowaniu programu!
1.
1. Kaspersky
1.1.
Kaspersky
KasperskyKaspersky Linux Workstation
Linux Workstation
Linux WorkstationLinux Workstation
TM
TM
TMTM
Anti
Anti----Virus for
Anti Anti
Virus for
Virus for Virus for
Rozdzia
1.1. Wstęp
Czym jest Kaspersky Anti-Virus for Linux?
Kaspersky Anti-Virus for Linux Workstation (Kaspersky Anti­Virus for Linux) jest kompletnym systemem ochrony antywirusowej dla komputerów pracujących pod kontrolą systemu operacyjnego Linux. Umożliwia wykrywanie i usuwanie wszystkich obecnie znanych typów wirusów oraz niebezpiecznego oprogramowania, włączając:
wirusy polimorficzne i szyfrujące się; wirusy ukrywające się i niewidzialne;
wirusy dla Windows 9x, Windows NT, UNIX, OS/2;
nowe wirusy dla apletów Java;
makrowirusy infekujące dokumenty Word, arkusze programu
Excel, prezentacje PowerPoint, pliki pomocy itd.;
robaki sieciowe; konie trojańskie.
7777
WSTĘ P
Pakiet zawiera zestaw aplikacji oraz narzędzi antywirusowych. Program kavscanner (skaner antywirusowy) umożliwia, na żądanie
użytkownika, testowanie systemu pod kątem obecności wirusów
1
.
Proces antywirusowy kavdaemon (demon antywirusowy) umożliwia integrację procesów testowania z programami użytkownika.
Monitor antywirusowy kavmonitor (Monitor) monitoruje pliki otwierane i uruchamiane w systemie Linux pod kątem obecności wirusów.
Program slogan umożliwia przetwarzanie i podsumowywanie danych zawartych w raportach generowanych przez programy Scanner oraz Daemon.
Kavupdater umożliwia uaktualnianie antywirusowych baz danych, które są wykorzystywane przez inne składniki podczas testowania systemu na obecność wirusów.
Podczas testowania w poszukiwaniu wirusów

Kaspersky Anti-
Virus for Linux korzysta z antywirusowych baz danych,
zawierających informacje umożliwiające wykrywanie i usuwanie wielu wirusów. Kaspersky Lab codziennie publikuje uaktualnienia antywirusowych baz danych.
W skład pakietu wchodzi także specjalny program konfigurujący kavtuner, który umożliwia zmianę ustawień ochrony antywirusowej skanera i demona antywirusowego.
Korzystając z programu kavinspector (inspektor) można kontrolować system plików. Pozwala on na monitorowanie zmian w strukturze pliku oraz poszukiwanie wirusów w plikach z uwzględnieniem metod wnikania wirusów do plików.
Działanie wszystkich komponentów Kaspersky Anti-Virus for Linux może być koordynowane za pomocą programu kavucc (centrum sterowania), pozwalającego użytkownikowi na zaplanowanie automatycznego startu komponentów oraz wyświetlanie informacji o stopniu wykorzystania licencji i użytkownikach Kaspersky Anti-Virus for Linux
1
Jeżeli dyski sieciowe innego komputera zostały zamontowane w systemie plików użytkownika, pliki z tych dysków również będą testowane. Proces testowania systemu plików oznacza testowanie wszystkich zamontowanych systemów plików.
8888
1.2. Pakiet dystrybucyjny
Co zawiera pakiet dystrybucyjny? Umowa Licencyjna. Karta rejestracyjna.
1.2.1. Elementy pakietu
dystrybucyjnego
Pakiet dystrybucyjny zawiera następujące elementy:
zapieczętowaną kopertę z instalacyjną płytą CD (lub
dyskietkami) zawierającą pliki produktu;
WSTĘ P
plik klucza; kartę rejestracyjną (z numerem seryjnym produktu); Umowę Licencyjną.
Przed rozpakowaniem zapieczętowanej koperty zawierającej nośnik

instalacyjny, należy uważnie przeczytać postanowienia Umowy Licencyjnej.
1.2.2. Umowa Licencyjna
Umowa Licencyjna (UL) jest legalnym porozumieniem pomiędzy użytkownikiem (jako osobą fizyczną lub firmą) a producentem (Kaspersky Lab Ltd.) opisującą warunki zakupu i użytkowania produktu antywirusowego.

Nie należy otwierać zapieczętowanej koperty przed zapoznaniem się z postanowieniami Umowy Licencyjnej!
Jeżeli użytkownik nie zgadza się z postanowieniami Umowy Licencyjnej, może on zwrócić produkt dystrybutorowi i uzyskać pełny zwrot poniesionych kosztów. Należy jednak upewnić się, że koperta zawierająca nośnik instalacyjny nie została naruszona.
9999
WSTĘ P
Odpieczętowanie koperty oznacza zaakceptowanie warunków Umowy Licencyjnej.
1.2.3. Karta rejestracyjna
Aby zostać zarejestrowanym użytkownikiem, należy wypełnić kartę rejestracyjną i wysłać ją do przedstawiciela Kaspersky Lab w Polsce.
W przypadku zmiany adresu korespondencji/e-mail lub numeru telefonu, należy powiadomić przedstawiciela, do którego została wysłana karta rejestracujna.
Użytkownik rejestrując się uzyskuje status zarejestrowanego użytkownika Kaspersky Anti-Virus for Linux, oraz otrzymuje wsparcie techniczne i uaktualnienia antywirusowych baz danych przez okres trwania subskrypcji.
1.3. Pomoc techniczna
Usługi świadczone zarejestrowanym użytkownikom.
Kaspersky Lab oferuje szeroki pakiet usług dla zarejestrowanych użytkowników pakietu Kaspersky Anti-Virus.
Użytkownik, który zarejestrował się i wykupił subskrypcję będzie mógł korzystać z poniższych usług przez cały okres ważności umowy licencyjnej:
codzienne uaktualnienia antywirusowych baz danych; powiadomienia o nowych wersjach produktów; doradztwo związane z instalacją, konfiguracją oraz działaniem
oprogramowania za pośrednictwem telefonu oraz poczty elektronicznej;
powiadamianie o pojawieniu się informacji na temat nowych
produktów z linii Kaspersky Anti-Virus lub o pojawieniu się nowych wirusów na świecie (dla użytkowników zapisanych na listę mailingową Kaspersky Lab)
10
10
1010
WSTĘ P

Kaspersky Lab nie udostępnia informacji na temat działania i użytkowania systemów operacyjnych.
1.4. Informacje zawarte w tym
podręczniku
Co zostało opisane w tym podręczniku i czego on nie zawiera?
1.5. Symbole użyte w
dokumentacji
Konwencje przyjęte w tym podręczniku.
Tekst dokumentacji zostałżnie sformatowany w zależności od jego znaczenia.
Konwencja Znaczenie
Pogrubiona czcionka Nazwy menu oraz jego
polecenia, tytuły oraz elementy okien dialogowych, etc.
Notatka. Dodatkowe informacje, notatki


Uwaga!
Bardzo ważna informacja
11
11
1111
WSTĘ P
Konwencja Znaczenie
Aby wykonać działanie: …
1. Krok 1.
2. …
Nazwa elementu
kontrolnego—funkcja elementu kontrolnego.
[przełącznik]—opis funkcji przełącznika.
Tekst wprowadzony przez uż ytkownika
Tekst informacyjny
Sekwencja działań wykonywanych przez użytkownika
Opis drzewa ustawień
Przełączniki wiersza poleceń
Tekst, który powinien zostać wprowadzony przez użytkownika w linii poleceń.
Tekst plików konfiguracyjnych oraz wiadomości informacyjnych programu.
12
12
1212
Rozdzia
ł
2.
2. Instalacja Kaspersky Anti
2.2.
Instalacja Kaspersky Anti----
Instalacja Kaspersky AntiInstalacja Kaspersky Anti Virus for Linu
Virus for Linux
Virus for LinuVirus for Linu
x
x x
2.1. Wymagania systemowe
Wymagania sprzętowe i systemowe.
Aby uruchomić program Kaspersky Anti-Virus for Linux muszą zostać spełnione następujące wymagania systemowe:
procesor 486 lub Intel Pentium (lub kompatybilny), minimum 64
MB pamięci RAM;
system operacyjny Linux; biblioteka libnss_compat.so.1; jądro w wersji 2.2.x lub 2.4.x.

Jądra systemowe w wersjach 2.0.x i wcześniejszych nie są obsługiwane!
13
13
1313
INSTALACJA
2.2. Tworzenie kopii zapasowej
dyskietek
Jeżeli pakiet Kaspersky Anti-Virus for Linux dostarczony został na dyskietkach instalacyjnych (nie na płycie CD), przed rozpoczęciem instalacji programu zalecane jest utworzenie kopii tych dyskietek. W przypadku uszkodzenia dyskietek podczas instalacji możliwe będzie ich odtworzenie z kopii zapasowych.
2.3. Instalacja krok po kroku
2.3.1. … z użyciem narzędzia
instalacyjnego

Aby zainstalować Kaspersky Anti-Virus for Linux przy pomocy
narzędzia instalującego należy wykonać następujące kroki:
1. Skopiować archiwum z nośnika instalacyjnego na dysk twardy
komputera.
2. Rozpakować archiwum przy pomocy polecenia
<nazwa archiwum>
następujące pliki: narzędzie instalujące oraz archiwa zawierające pliki produktu.
3. Uruchomić narzędzie instalujące:
4. Jeżeli na ekranie pojawi się pytanie
directory_name?,
klawisz <Enter>. Na ekranie pojawi się następujący komunikat:
. Z archiwum zostaną rozpakowane
./kavinstaller
Search in current
należy wcisnąć klawisz <Y>, a następnie
tar zxvf
.
In package <ścieżka> found <nazwa> version <numer_wersji > <numer_kompilacji>
gdzie:
<ścieżka> ścieżka dostępu do archiwum;
14
14
1414
<nazwa> nazwa znalezionego oprogramowania;
INSTALACJA
<numer_wersji> <numer_kompilacji> numer seryjny kompilacji programu.
5. Jeżeli pojawi się pytanie
wcisnąć klawisz <Y>. Po wykonaniu tych czynności instalator zainstaluje Kaspersky Anti-Virus for Linux na komputerze, a następnie spróbuje uruchomić skaner antywirusowy.
Jeżeli z pewnych powodów uruchomienie instalatora nie było

możliwe, należy rozpakować archiwa, utworzyć katalog dla programu antywirusowego i skopiować do niego zawartość archiwum (patrz podrozdział 2.3.2). Podczas wykonywania tych czynności należy zignorować komunikat systemu informujący o uszkodzeniu archiwum (system wyświetli ten komunikat, ponieważ archiwum jest podpisane cyfrowo).
numer wersji;
Do you want to install it?,
należy
2.3.2. … bez pomocy narzędzia
instalującego

Aby skopiować pliki pakietu Kaspersky Anti-Virus for Linux na
dysk komputera należy wykonać następujące czynności:
1. Wybrać katalog systemu plików, w którym ma być
zainstalowany Kaspersky Anti-Virus for Linux.
2. W wybranym katalogu utworzyć podkatalog dla programu antywirusowego (przykładowo, /usr/lib/AVP).
3. Umieścić w napędzie pierwszą dyskietkę instalacyjną lub jej kopię.
4. Zamontować napęd dyskietek w systemie plików.
5. Skopiować wszystkie pliki zapisane na dyskietce do wybranego katalogu.
6. Jeżeli antywirusowe bazy danych mają być przechowywane w oddzielnym katalogu, należy wybrać
/opt/AVP lub
15
15
1515
INSTALACJA
katalog i utworzyć w nim odpowiedni podkatalog (przykładowo,
7. Umieścić w napędzie drugą dyskietkę instalacyjną i zamontować napęd w systemie plików.
8. Skopiować wszystkie pliki zapisane na dyskietce do utworzonego katalogu (katalog wspólny lub przeznaczony dla antywirusowych baz danych).
9. Powtórzyć kroki 7 i 8 dla pozostałych dyskietek instalacyjnych.
10. Podać ścieżkę dostępu do antywirusowych baz danych w parametrze BasePath znajdującym się w pliku AvpUnix.ini.
Aby zainstalowane programy mogły być uruchamiane z dowolnego
katalogu, należy utworzyć odpowiednie łącza w katalogu lub /usr/local/bin.
/opt/AVP/BASES
/usr/lib/AVP/BASES
lub
/usr/bin
).
Lista plików programu oraz realizowanych przez nie funkcji znajduje
się w Dodatku A.
2.4. Przygotowanie do uruchomienia
Jak zredagować plik .ini oraz ścieżkę dostępu do katalogu zawierającego pliki tymczasowe? Dostosowywanie oprogramowania do różnych potrzeb.
2.4.1. Redagowanie pliku .ini
Plik inicjacyjny AvpUnix.ini zawiera informacje niezbędne do poprawnej pracy pakietu. Może on znajdować się w jednym z poniższych katalogów:
16
16
1616
INSTALACJA
~/.AVP
1.
(katalog użytkownika. Na przykład,
/home/user1 /.AVP)
/opt/AVP/etc
2.
/root/.AVP
lub
3. /etc/AVP

Podczas uruchamiania, program poszukuje pliku AvpUnix.ini kolejno w katalogach wymienionych powyżej. Jeżeli plik nie zostanie tam znaleziony, program rozpocznie szukanie go w bieżącym katalogu!
Jeżeli jest to wymagane, plik AvpUnix.ini może zostać redagowany (szczegółowe informacje dotyczące pliku INI znajdują się w Dodatku В).
Redagowanie pliku inicjacyjnego będzie konieczne w następujących przypadkach:
Jeżeli antywirusowe bazy danych zostały skopiowane do
oddzielnego katalogu, konieczne będzie podanie odpowiedniej ścieżki dostępu w linii
BasePath
pliku AvpUnix.ini. Jeżeli ścieżka
ta nie zostanie podana, program nie odnajdzie antywirusowych baz danych i nie będzie wykrywał żadnych wirusów!
Jeżeli zmieniona została nazwa pliku .set (przykładowo, pliku
ustawień antywirusowych baz danych), konieczne będzie podanie nowej nazwy w linii
SetFile
pliku AvpUnix.ini. Jeżeli nazwa ta nie zostanie podana, program nie załaduje antywirusowych baz danych i nie będzie wykrywał żadnych wirusów!

Podczas redagowania parametru
SetFile
należy podać tylko nazwę
pliku .set. Podawanie ścieżki dostępu do tego pliku nie jest konieczne!
Jeżeli pliki kluczy zostały skopiowane do oddzielnego katalogu,
konieczne będzie podanie odpowiedniej ścieżki dostępu w linii
KeysPath
pliku AvpUnix.ini. Jeżeli ścieżka ta nie zostanie podana, wszystkie programy będą pracować w trybie demonstracyjnym (przykładowo, wykryte wirusy nie będą usuwane oraz nie będą testowane archiwa i pocztowe bazy danych).
17
17
1717
INSTALACJA
Zaleca się podawanie bezwzględnych ścieżek dostępu do
antywirusowych baz danych oraz do plików kluczy w pliku AvpUnix.ini.
2.4.2. Redagowanie ścieżki dostępu
do plików tymczasowych
Jeżeli pliki tymczasowe skanera oraz procesu demona mają być tworzone w katalogu innym niż są pliki tymczasowe), należy zdefiniować go wykonując poniższe czynności:
1. Utworzyć katalog dla plików tymczasowych, przykładowo
/TEMP)
.
/tmp
(domyślny katalog, w którym przechowywane
2. Dodać katalog do zmiennej środowiskowej

Aby zdefiniować nowy katalog dla plików tymczasowych tworzonych przez inne programy, należy zmienić ustawienia w odpowiednich plikach konfiguracyjnych tych programów.
TEMP lub
TMP
.
2.4.3. Dostosowywanie oprogramowania do indywidualnych potrzeb
Jeżeli skaner oraz demon mają być uruchamiane przez różnych użytkowników z innymi, indywidualnymi ustawieniami, należy wykonać poniższe czynności:
1. Utworzyć podkatalog katalogach domowych użytkowników.
.AVP
(przykładowo,
/root/.AVP)
w
2. Skopiować do utworzonych podkatalogów plik AvpUnix.ini oraz defUnix.prf.
3. Jeżeli jest to konieczne, zmodyfikować profil (patrz Załącznik B).
18
18
1818
INSTALACJA
Jeżeli w linii poleceń programu kavtuner lub programu kavinstaller wykorzystany zostanie przełącznik
–ua=nazwa (gdzie
nazwa
jest nazwą użytkownika), programy automatycznie wykonają opisane powyżej czynności.
19
19
1919
Rozdzia
ł
3.
3. Uruchamianie Kaspersky Anti
3.3.
Uruchamianie Kaspersky Anti----
Uruchamianie Kaspersky AntiUruchamianie Kaspersky Anti Virus for Linux
Virus for Linux
Virus for LinuxVirus for Linux
3.1. Modyfikowanie ustawień
testowania
Jak zmienić ustawienia testowania? Korzystanie z przełączników linii poleceń oraz z profili.
Aby korzystanie z funkcji programu Kaspersky Anti-Virus for Linux było możliwe, konieczne jest zdefiniowanie:
obiektów, które będą testowane; sposobu traktowania tych obiektów; sposobu wykorzystania zaawansowanych narzędzi testujących.
Program ładuje ustawienia testowania z profilu (plik posiadający rozszerzenie .prf), który zdefiniowany jest w linii DefaultProfile pliku AvpUnix.ini. Profil może być również określony przy użyciu przełączników linii poleceń (patrz podrozdział 4.1). W celu redagowania profilu można:
20
20
2020
URUCHAMIANIE
skorzystać z programu kavtuner (patrz rozdział 9). otworzyć i zmodyfikować profil w dowolnym edytorze tekstu
(patrz podrozdział 5.2).
Możliwe jest zdefiniowanie oddzielnych ustawień dla różnych zadań realizowanych przez program. Przykładowo, jeżeli program ma regularnie wykonywać test zapobiegawczy, nie jest konieczne uruchamianie zaawansowanych narzędzi testujących. Jeżeli jednak istnieje podejrzenie zainfekowania komputera, narzędzia te powinny zostać wykorzystane.
Na przykład:
./kavscanner –V –H- /root
Powyższa linia poleceń uruchamia skaner antywirusowy w celu przetestowania katalogu narzędzi testujących — testu redundancyjnego oraz analizatora heurystycznego.
/root
z wykorzystaniem dwóch zaawansowanych
W celu zdefiniowania takich ustawień w pliku
otworzyć go w dowolnym edytorze tekstu i wprowadzić następujące linie:
Names=*/root; RedundantScan=Yes CodeAnylyser=Yes
defUnix.prf
3.2. Uruchamianie testu
Jak uruchomić testowanie komputera w poszukiwaniu wirusów? Przykłady uruchomienia skanera oraz demona. Monitorowanie plików. Wyszukiwanie wirusów w poczcie elektronicznej.
należy
Test może być uruchomiony z linii poleceń lub ze skryptu. Przykładowo, linia poleceń uruchamiająca program kavscanner może wyglądać następująco:
21
21
2121
URUCHAMIANIE
./kavscanner
Po uruchomieniu, skaner automatycznie ładuje ustawienia z pliku zdefiniowanego przez parametr
DefaultProfile
w pliku AvpUnix.ini.
Domyślną nazwą pliku profilu jest defUnix.prf. Jeżeli pakiet nie zawiera tego pliku skaner wykorzysta własne ustawienia domyślne. Ustawienia mogą być również zmieniane przy użyciu przełącznika
F=nazwa_pliku_profilu
w linii poleceń.
Test na obecność wirusów może być również wykonywany przy użyciu programu kavaemon. Na początku program ten może być uruchamiany tylko z linii poleceń. Później możliwe będzie wywoływanie demona przez klienta. Gdy demon uruchamiany jest po raz pierwszy, linia poleceń może wyglądać następująco:
./kavdaemon
Wykonanie powyższego polecenia spowoduje uruchomienie procesu demona i załadowanie antywirusowych baz danych do pamięci. Aby rozpocząć testowanie (przykładowo, katalogów domowych) należy wprowadzić poniższe polecenie:
./kavdaemon -o{/home}
Demon dziedziczy wszystkie funkcje skanera, jednak niektóre przełączniki linii poleceń tych programów różnią się.
Monitor jest zawsze aktywny i nieustannie testuje wszystkie uruchamiane lub otwierane obiekty (szczegółowe informacje dotyczące uruchamiania programu Monitor znajdują się w podrozdziale 6).
22
22
2222
URUCHAMIANIE
3.3. Uruchamianie uaktualniania
antywirusowych baz danych
Źródła uaktualnień antywirusowych baz danych. Przykład wykorzystania programu Updater.
Uaktualnienia antywirusowych bazy danych mogą być pobierane z Internetu lub dostarczane przez dystrybutorów Kaspersky Lab. Podstawowy adres uaktualniania to:
ftp://updates1.kaspersky.pl/updates.
Pełna lista dostępnych lokalizacji z udostępnianymi uaktualnieniami baz antywirusowych znajduje się pod adresem www.kaspersky.pl.
Aby ochrona komputera przed nowymi wirusami była efektywna, należy regularnie uaktualniać antywirusowe bazy danych.
Program Updater wchodzący w skład pakietu Kaspersky Anti-Virus fo r Linux umożliwia zautomatyzowanie procesu uaktualniania (patrz podrozdział 10.2).
Program Updater może być uruchomiony z poziomu linii poleceń:
./kavupdater –uik=ftp://updates1.kaspersky.pl/updates
23
23
2323
Rozdzia
ł
4.
4. Program Scanner: testowanie
4.4.
Program Scanner: testowanie
Program Scanner: testowanie Program Scanner: testowanie i leczenie
i leczenie
i leczeniei leczenie
4.1. Uruchamianie programu
Scanner
Uruchamianie programu Scanner z poziomu linii poleceń lub ze skryptu. Korzystanie z kodów wyjścia.
W celu wykonywania okresowego testu komputera na obecność wirusów, należy skorzystać z programu Scanner. Program ten może być uruchamiany z linii poleceń lub ze specjalnie przygotowanego skryptu.

Jeżeli podczas uruchamiania skaner antywirusowy nie zlokalizuje pliku klucza, to uruchomi się w trybie demonstracyjnym, tzn. wyłączone zostaną opcje poszukiwania wirusów w archiwach oraz wiadomościach pocztowych, a także wyboru akcji przez użytkownika w przypadku wykrycia wirusa.
Podczas uruchamiania programu Scanner z poziomu linii poleceń, ustawienia mogą być definiowane przy użyciu odpowiednich
24
24
2424
SCANNER
przełączników. Poniżej znajduje się ogólny format linii poleceń programu Scanner:
./kavscanner [przełącznik1] [przełącznik2] [...] [przełącznikN] [ś cieżka] [maski_plików]
gdzie:
przełącznik…]
[
jest opcjonalnym przełącznikiem wiersza
poleceń,
[ś cież ka]
jest opcjonalna ścieżką systemu Linux,
[maski_plików]
to opcjonalne maski plików, które będą
testowane. Domyślnie program testuje wszystkie pliki uruchamialne.
Przed uruchomieniem testowania możliwe jest zdefiniowanie
ustawień programu, takich jak typ testowanych obiektów, reakcja na wystąpienie zainfekowanych obiektów, uaktywnienie zaawansowanych mechanizmów testowania itp. (patrz podrozdział 5.1). Po uruchomieniu program automatycznie ładuje ustawienia z pliku defUnix.prf. Jeżeli utworzony został nowy profil, a jego nazwę podano w linii
DefaultProfile
pliku AvpUnix.ini, Scanner
załaduje ustawienia z nowego profilu. Jeżeli podczas uruchamiania program Scanner nie odnajdzie żadnego profilu, wykorzystane zostaną domyślne ustawienia. Ustawienia zapisane w profilu mogą być zmodyfikowane za pomocą przełączników linii poleceń.
Jeżeli ustawienia mają być załadowane z profilu innego niż określony w pliku .ini, należy uruchomić program przy użyciu przełącznika
-F=nazwa_pliku_profilu
. Lista wszystkich dostępnych przełączników
wiersza poleceń znajduje się w Dodatku B. Jeżeli program Scanner uruchamiany jest ze skryptu, możliwe jest
przeglądanie zwróconych przez niego kodów wyjścia. Lista wszystkich kodów wyjścia wraz z przykładem ich analizy znajduje się w
Dodatku B
.
Scanner może być uruchomiony z dyskietki instalacyjnej. Zaleca się utworzenie odpowiednich dyskietek startowych i zapisanie na nich pakietu Kaspersky Anti-Virus for Linux wraz z antywirusowymi bazami danych (wymagane będzie kilka dyskietek). Dyskietki takie będą bardzo pomocne podczas odzyskiwania systemu po ewentualnym ataku wirusa.
25
25
2525
SCANNER
Jeżeli dla programu Scanner zapisanego na dyskietkach startowych
zostanie utworzony profil, należy podać wartość UseMemoryFiles (szczegółowe informacje dotyczące tego parametru znajdują się w podrozdziale 5.4.2).
Yes
dla parametru
4.2. Wyszukiwanie i usuwanie
wirusów
Reakcje na wystąpienie zainfekowanych obiektów. Zalecenia. Komunikaty generowane przez skaner antywirusowy w przypadku usunięcia podejrzanych lub zainfekowanych obiektów oraz komunikaty dotyczące wirusa wykrytego w programie antywirusowym.
4.2.1. Ładowanie skanera
antywirusowego
Po uruchomieniu program Scanner ładuje antywirusowe bazy danych. Jeżeli operacja ta zakończy się pomyślnie, na ekranie pojawi się następujący komunikaty:
Antiviral databases were loaded. Records: <NNNN>
gdzie <NNNN> jest liczbą rozpoznawanych wirusów.
Następnie skaner szuka wirusów we własnym kodzie (w module uruchamialnym kavscanner).
Jeżeli skaner antywirusowy zostanie zainfekowany wirusem,
zaproponuje wyleczenie modułu uruchamialnego. W tym przypadku zalecane jest usunięcie zainfekowanego programu i ponowne jego zainstalowanie. Jeżeli nie istnieje taka możliwość należy wybrać opcję disInfect. Po wyleczeniu pliku skaner antywirusowy zasugeruje swoje ponowne uruchomienie i zakończy działanie.
26
26
2626
SCANNER

Jeżeli skaner antywirusowy nie jest zainfekowany,
rozpocznie poszukiwanie wirusów w obiektach zdefiniowanych przez użytkownika stosując określone wcześniej ustawienia.
Jeżeli nie określono żadnych typów obiektów przeznaczonych do
testowania, na ekranie pojawi się następujący komunikat: "Nothing to scan. You should select Files and/or Sectors in the *.prf file."
Jeżeli na ekranie pojawi się taki komunikat, należy określić rodzaje obiektów przeznaczone do testowania.
Jeżeli nie określono żadnej lokalizacji obiektów przeznaczonych do
testowania, na ekranie pojawi się następujący komunikat: "Nothing to scan. You should select at least one directory to scan."
Jeżeli na ekranie pojawi się taki komunikat, należy określić lokalizację obiektów przeznaczonych do testowania.
4.2.2. Obsługa zainfekowanych
obiektów
W przypadku wykrycia obiektów zainfekowanych wirusem, Scanner będzie próbował je wyleczyć. Niestety leczenie nie zawsze jest możliwe (program wyświetla wtedy odpowiedni komunikat). W takim przypadku należy usunąć zainfekowany obiekt.
Scanner nie leczy plików uszkodzonych przez wirusy, koni
trojańskich, plików zapisanych w archiwach oraz pocztowych baz danych i pocztowych formatów tekstowych.

Podczas pracy z zainfekowanymi i podejrzanymi obiektami należy postępować bardzo ostrożnie. Jeżeli zainfekowane są pliki uruchamialne pod żadnym pozorem nie należy ich uruchamiać.
27
27
2727
SCANNER

Jeżeli skaner antywirusowy został skonfigurowany aby umożliwić użytkownikowi wybór metody traktowania zainfekowanych obiektów,
po wykryciu takiego obiektu na ekranie pojawi się jego nazwa, nazwa wirusa oraz możliwość wyboru odpowiedniej reakcji. Poniżej znajduje się przykładowe zapytanie programu Scanner:
Actions — Report only (OK/disInfect/Delete/Cancel/Stop)
gdzie:
Report only— program tylko zapisze informacje o
zainfekowanym obiekcie w raporcie;
disInfect— program spróbuje wyleczyć obiekt; wirus
zostanie usunięty; zostanie przywrócona poprawna zawartość obiektu;
Delete— obiekt usunie obiekt; Cancel— program zignoruje obiekt i będzie
kontynuował testowanie;
Stop— program przerwie testowanie.
Zapytanie może siężnić w zależności od metody wybranej dla poprzedniego zainfekowanego obiektu. Ogólny format zapytania programu Scanner jest następujący:
Actions — <Reakcja_1>
(OK/<Reakcja_2>/<Reakcja_3>/Cancel/Stop)
where:
<Reakcja_1> jest metodą domyślną. Może to być
jedna z następujących reakcji:
Report only
,
desInfect lub Delete;
<Reakcja_2> oraz <Reakcja_3> to pozostałe
dwie metody z wymienionych powyżej. Polecenia
Cancel
oraz
Stop
zawsze znajdują się na końcu
zapytania.
28
28
2828
SCANNER
Aby wybrać metodę domyślną należy wcisnąć na klawiaturze literę odpowiadającą wielkiej literze w nazwie opcji lub klawisz <O> (oznaczający wybranie polecenia OК).
Aby wybrać jedną z pozostałych metod należy wcisnąć na klawiaturze literę odpowiadającą wielkiej literze w nazwie opcji. Przykładowo, aby wybrać polecenie disInfect należy wcisnąć na klawiaturze klawisz <I>.

Jeżeli zainfekowany jest sektor startowy (MBR, tablica partycji)
i wybrana została opcja disInfect lub Delete, Scanner wyświetli poniższe ostrzeżenie:
Treatment of sectors is a risky operation! We recommend you to make a complete backup of your drive. Proceed with treatment now? - Yes/No
Aby potwierdzić wykonanie operacji należy wcisnąć klawisz <Y> i <E
NTER>. Aby anulować należy wcisnąć klawisz <N> i <ENTER>.
Jeżeli wykonanie operacji zostanie potwierdzone, Scanner rozpocznie leczenie sektorów i nadpisze je standardowym sektorem startowym MS­DOS 6.0. Jeżeli wykonanie operacji zostanie anulowane, proces testowania zakończy się. W takim przypadku możliwe będzie zamknięcie programu i utworzenie kopii zapasowej dysku przed rozpoczęciem ewentualnego leczenia.
Po wybraniu jednej z powyższych metod traktowania zainfekowanych obiektów, na ekranie pojawi się poniższy komunikat:
Apply to all Infected objects? - Yes/No
Jeżeli odpowiedź będzie twierdząca, skaner zastosuje wybraną metodę dla wszystkich zainfekowanych obiektów. Rezultaty testu zostaną zapisane w raporcie.
29
29
2929
SCANNER
4.2.3. Obsługa uszkodzonych
obiektów
Zainfekowane obiekty nie zawsze mogą być leczone, ponieważ niektóre wirusy nieodwracalnie zmieniają ich zawartość. Obiekty takie powinny być usuwane.
Jeżeli program nie może wyleczyć obiektu, na ekranie pojawi
się poniższy komunikat:
Disinfecting of <NAZWA_OBIEKTU> infected by virus <NAZWA_WIRUSA> is impossible. Delete this object
- Yes/No
gdzie:
<NAZWA_OBIEKTU> <NAZWA_WIRUSA> jest nazwą wirusa wykrytego w
jest nazwą zainfekowanego obiektu;
obiekcie.
Aby usunąć obiekt należy wcisnąć klawisz <Y> oraz <E
NTER>.
Program usunie obiekt i wyświetli pytanie:
Delete all non disinfected objects? - Yes/No
Jeżeli odpowiedź będzie twierdząca, skaner automatycznie usunie każdy obiekt, którego leczenie nie jest możliwe. Jeżeli odpowiedź będzie przecząca, przy wykryciu kolejnego obiektu, którego nie można wyleczyć, Scanner umożliwi użytkownikowi podjęcie odpowiedniej decyzji.
Aby anulować usuwanie obiektu należy wcisnąć klawisz <N> oraz
<E
NTER
. Program nie usunie obiektu i wyświetli poniższe pytanie:
>
Do not delete all non-disinfected objects? ­Yes/No
Jeżeli odpowiedź będzie twierdząca, skaner automatycznie pominie wszystkie obiekty, których leczenie nie jest możliwe. Jeżeli odpowiedź będzie przecząca, przy wykryciu kolejnego obiektu, którego leczenie jest niemożliwe, program umożliwi użytkownikowi podjęcie odpowiedniej decyzji.
30
30
3030
SCANNER
Scanner nie leczy wirusów w pocztowych bazach danych oraz
w pocztowych formatach tekstowych. Do leczenia wiadomości poczty elektronicznej przeznaczony jest program Keeper zawarty w pakiecie Kaspersky Anti-Virus for Linux Server. Scanner nie leczy i nie usuwa zainfekowanych plików zapisanych w archiwach. Aby wyleczyć takie pliki należy rozpakować archiwum do tymczasowego katalogu, wyleczyć lub usunąć zainfekowane obiekty i ponownie utworzyć archiwum.
4.2.4. Obsługa podejrzanych
obiektów
Jeżeli Scanner poinformuje o wykryciu podejrzanego pliku lub sektora zalecamy skontaktowanie się z działem pomocy technicznej. Obiekt taki można również wysłać do firmy Kaspersky Lab (przykładowo, pod adres
newvirus@kaspersky.pl
analizie.
) gdzie zostanie on poddany szczegółowej
Przed wysłaniem podejrzanego obiektu do firmy Kaspersky Lab należy go umieścić w archiwum zabezpieczonym hasłem.
4.3. Przeglądanie statystyk dotyczących wydajności
Jak przeglądać rezultaty testów? Wiadomości dotyczące testowanych obiektów. Statystyki dotyczące wydajności.
Podczas testowania obiektów program wyświetla bieżące rezultaty. Z lewej strony ekranu znajdują się nazwy testowanych obiektów, natomiast,
po stronie przeciwnej wyświetlany jest ich status. Lista wszystkich wyświetlanych komunikatów znajduje się w Dodatku B.
Po zakończeniu testu program wyświetla statystykę zawierającą informacje o przetestowanych obiektach oraz o wykrytych i usuniętych wirusach.
31
31
3131
SCANNER
Tabela zawierająca statystykę podzielona jest na dwie kolumny:
Lewa kolumna
zawiera ilość testowanych sektorów, plików,
katalogów, plików spakowanych oraz archiwów. W kolumnie tej wyświetlany jest również czas testowania.
Prawa kolumna
zawiera poniższe wartości:
Known viruses — ilość wirusów wykrywanych
przez Kaspersky Anti-Virus for Linux;
Virus bodies
— ilość plików zainfekowanych
znanymi wirusami;
Disinfected — ilość obiektów, z których usunięto
wirusy;
Deleted — ilość usuniętych obiektów; Warnings — ilość obiektów, które zawierają kod
podobny do kodu znanego wirusa;
Suspicious — ilość podejrzanych obiektów, np.
wykrytych podczas analizy heurystycznej;
Corrupted — ilość uszkodzonych obiektów; I/O errors — ilość błędów, które wystąpiły podczas
odczytywania plików.
Informacje dotyczące zainfekowanych obiektów oraz statystyk będą

zapisywane w raporcie tylko, gdy program zostanie odpowiednio skonfigurowany.
Aby przetworzyć i zsumować dane z raportów by przeglądać

szczegóły operacji skanowania należy użyć programu Slogan (patrz rozdział 8).
32
32
3232
5.
ł
5. Scanner oraz Daemon:
5.5.
Scanner oraz Daemon:
Scanner oraz Daemon: Scanner oraz Daemon:
korzystanie z przełączników
korzystanie z przełączników
korzystanie z przełączników korzystanie z przełączników
oraz profili
oraz profili
oraz profilioraz profili
Rozdzia
5.1. Ustawienia testowania
Jakie obiekty testować? Jak traktować zainfekowane obiekty?
Aby wykrywanie wirusów było możliwe należy określić poniższe parametry:
Lokalizacja testowanych obiektów: sektory systemowe (Boot
Sector, Master Boot Record, tabela partycji) oraz pliki zapisane na lokalnych, sieciowych i zewnętrznych dyskach (floppy, LS­120, CD).
Obiekty przeznaczone do testu: pliki spakowane, archiwa,
pocztowe bazy danych, lokalne skrzynki pocztowe, pliki różnych typów.
33
33
3333
USTAWIENIA
Reakcje na wystąpienie zainfekowanych obiektów: obiekty
takie mogą być leczone, usuwane lub kopiowane do określonego katalogu.
Zaawansowane narzędzia testujące: wyszukiwanie
uszkodzonych i zmodyfikowanych wirusów, test redundancyjny (sprawdzający nie tylko punkty wejścia do pliku, ale całą zawartość analizowanego pliku), analizator heurystyczny (pozwalający na wykrywanie nieznanych wirusów).
Przeprowadzone testy dowiodły, że analizator heurystyczny wykrywa
ponad 92% nieznanych wirusów.
Zapisywanie raportu z testu do pliku: program może
zapisywać raport z procesu testowania oraz informacje o wydajności do pliku.
5.2. Jak zmieniać ustawienia?
Przełączniki linii poleceń, profile oraz program konfiguracyjny. Zalecenia dotyczące korzystania z różnych ustawień.
Skaner antywirusowy oraz program Daemon ładuje ustawienia z profilu (przykładowo, z pliku .prf). W celu redagowania profilu należy zastosować jedną z poniższych metod:
skorzystać z programu Tuner (patrz rozdział 9).
zredagować plik .prf przy użyciu dowolnego edytora testu.
Ustawienia z profilu mogą być również zmienione przy użyciu przełączników linii poleceń.
Jeżeli Scanner ma być wykorzystywany do różnych celów, możliwy jest wybór jednej z poniższych konfiguracji:
Test regularny. Scanner może wykonywać test regularnie
(przykładowo, codzienne testowanie dysków). W tym celu należy utworzyć zestaw profili zawierających różne ustawienia i
34
34
3434
USTAWIENIA
uruchamiać skaner antywirusowy z odpowiednimi profilami definiowanymi w linii poleceń
Test nieregularny. W niektórych przypadkach może wystąpić
konieczność uruchomienia testu z niestandardowymi ustawieniami. Przykładowo, możliwe jest wyszukiwanie wirusów tylko w pocztowych bazach danych. W takim przypadku zaleca się uruchomienie skanera z poziomu linii poleceń przy użyciu odpowiednich przełączników.
5.3. Konfigurowanie lokalizacji obiektów przeznaczonych do testowania
Lokalizacja obiektów przeznaczonych do testowania. Testowane obiekty. Indywidualne ustawienia dla lokalizacji obiektów.
5.3.1. Definiowanie lokalizacji
obiektów przeznaczonych do testowania
Przed zmianą innych ustawień należy podać lokalizację obiektów przeznaczonych do testowania.
Jeżeli program zostanie uruchomiony bez określonej lokalizacji
obiektów przeznaczonych do testowania, na ekranie pojawi się poniższy komunikat: "Nothing to scan. You should select at least one directory to scan."
Lokalizację należy określić w linii
Names
35
35
3535
, w sekcji
[Object]
profilu.
USTAWIENIA
JEDEN PROFIL MOŻE POSIADAĆ WIĘCEJ NIŻ JEDNĄ SEKCJĘ
[Object]
dla różnych lokalizacji. Ponadto dla każdej lokalizacji
możliwe jest określenie innych ustawień testowania.
Aby zdefiniować lokalizację obiektów przeznaczonych do
testowania,
w linii
Names
sekcji
[Object]
należy podać katalogi systemu plików, w
których test ma być przeprowadzony. W przypadku podania większej ilości katalogów należy oddzielić je za pomocą średników. Jeżeli program ma wyszukiwać wirusy w podanym katalogu należy poprzedzić nazwę katalogu znakiem ”*”. Przykładowo, jeżeli linia wygląda następująco:
*/root/tst;
program będzie szukał wirusów tylko w plikach
Names =*/root/vir; .home/samba;
zapisanych w katalogach /root/vir oraz /root/tst. Aby wyłączyć
katalog z lokalizacji przeznaczonej do sprawdzania należy poprzedzić jego nazwę znakiem ".". Lokalizacja obiektów przeznaczonych do testowania może być również określona przy użyciu przełączników linii poleceń (patrz rozdział 4.1).
Jeżeli zalogowany użytkownik nie posiada dostępu do katalogów lub
plików przeznaczonych do testowania, obiekty te zostaną pominięte podczas testu.
Aby wyszukiwać wirusy w podkatalogach katalogów
określonych w linii
Names
,
należy wpisać
Yes
w linii
SubDirectories
sekcji
[Object]
przeciwnym wypadku należy wpisać No.
Parametrowi
R[-]
. Przełącznik -R wyłącza, natomiast
podkatalogów zdefiniowanych w linii

Jeżeli program ma przekraczać granice systemu plików,
należy wpisać
SubDirectories
Yes
w linii
CrossFs
odpowiada przełącznik linii poleceń
-R-
włącza testowanie
Names
sekcji
.
[Object]
. W przeciwnym
wypadku należy wpisać No.
Parametrowi

-C[-]
. Przełącznik -C wyłącza, natomiast
CrossFs
odpowiada przełącznik linii poleceń
-C-
włącza przekraczanie
granic systemu plików.
36
36
3636
. W
-
USTAWIENIA
5.3.2. Definiowanie obiektów
przeznaczonych do testowania
5.3.2.1. Typy obiektów
Po określeniu lokalizacji obiektów przeznaczonych do testowania (patrz podrozdział) należy zdefiniować w jakich obiektach wyszukiwane będą wirusy. Program może wykrywać wirusy w następujących typach obiektów:
sektory (patrz podrozdział 5.3.2.2);
pliki (patrz podrozdział 5.3.2.3) włączając:
spakowane pliki uruchamialne (patrz
podrozdział 5.3.2.4);
archiwa, także samo rozpakowujące się (patrz
podrozdział 5.3.2.5);
pocztowe bazy danych oraz pocztowe formaty tekstowe
(patrz podrozdział 5.3.2.6);
obiekty OLE osadzone w testowanych plikach (patrz
podrozdział 5.3.2.7).
Jeżeli program zostanie uruchomiony bez określenia obiektów

przeznaczonych do testowania, na ekranie pojawi się poniższy komunikat: "Nothing to scan. You should select Files and/or Sectors in the *.prf file."
Obiekty przeznaczone do testowania należy zdefiniować w odpowiednich liniach sekcji
[Object]
profilu.
5.3.2.2. Sektory
Aby program testował (ignorował) sektory w wybranej
lokalizacji
należy wpisać profilu.
Yes (No
) dla parametru
Sectors
znajdującego się w
Parametrowi temu odpowiadają przełączniki linii poleceń
B[-]. Przełącznik -P wyłącza, natomiast -P- włącza testowanie
37
37
3737
-P[-]
oraz
-
USTAWIENIA
sektora MBR. Przełącznik -B wyłącza, natomiast
-B-
testowanie sektorów startowych dysków określonych w linii
5.3.2.3. Pliki

Aby program testował pliki w wybranej lokalizacji należy:
1. Wpisać
Yes
w linii
2. Jeżeli ustawienia mają być szczegółowe w polu należy wpisać jeden z poniższych parametrów:
0
— testowanie programów (przykładowo wszystkich
plików posiadających rozszerzenia .bat, .com, .exe, .ov*, .sys, .bin, .prg, .class, .ini, .vbs, .js, .htm, .dpl, .htt, .hta, .hlp, .pif), plików, których wewnętrzny format jest zbliżony do formatu uruchamialnych plików DOS (*.com, *.exe oraz .sys), plików Windows oraz OS/2 (.exe, *.dll), plików Linux (format .elf), plików posiadających format dokumentów oraz arkuszy pakietu Microsoft Office (OLE2 oraz Access) oraz apletów Javy. Parametr ten umożliwia testowanie wszystkich plików, które mogą przechowywać wirusy.
Files
profilu
włącza
FileMask
Names
.
1
— testowanie plików posiadających rozszerzenia: bat,
.bin, .cla, .cmd, .com, .cpl, .dll, .doc, .dot, .dpl, .drv, .dwg, .eml, .exe, .fpm, .hlp, .hta,.htm, .htt, .ini, .js, .jse, .lnk, .mbx, .md*, .msg, .msi, .ocx, .otm, .ov*, .php, .pht, .pif, .plg, .pp*, .prg, .rtf, .scr, .shs, .sys, .tsp, .vbe, .vbs, .vxd, .xl*.
2
— testowanie wszystkich plików (parametrowi temu
odpowiada maska *.*).
Wartości 2 parametru
FileMask
odpowiadają przełączniki linii
poleceń -* oraz –I2
3
— testowanie plików zdefiniowanych przez użytkownika poprzez parametr UserMask. Jeżeli zachodzi potrzeba zdefiniowania większej ilości typów, należy oddzielić je znakiem przecinka.
Pliki przeznaczone do testowania mogą być również określone przy

użyciu przełącznika linii poleceń:
-@!=nazwa_pliku
. W takim
38
38
3838
USTAWIENIA
przypadku Scanner będzie testował tylko pliki określone w pliku tekstowym
nazwa_pliku
(ASCII). Każda z linii tego pliku może zawierać tylko jedną nazwę (wraz z pełną ścieżką dostępu). Jeżeli po zakończeniu testowania plik
nazwa_pliku
ma być usunięty
należy skorzystać z opcjonalnego parametru ! (przykładowo,
nazwa_pliku
). Jeżeli parametr ! nie pojawi się w przełączniku
(np. -@=nazwa_pliku), plik nie będzie usunięty.
Aby wykluczyć pliki z procesu testowania:
1. należy wpisać jeden z poniższych parametrów w linii
ExcludeFiles profilu:
1
wykluczenie z procesu testowania plików
określonych poprzez parametr ExcludeMask (patrz poniżej);
2
— wykluczenie z procesu testowania plików
położonych w katalogach określonych poprzez parametr
ExcludeDir
(patrz poniżej);
-@!=
3
Aby żadne pliki nie zostały wykluczone z procesu testowania należy

wpisać wartość 0 w linii
— wykluczenie z procesu testowania plików
określonych poprzez parametry
ExcludeDir
.
ExcludeFiles
.
ExcludeMask
2. Maski plików podawane w linii ExcludeMask należy
oddzielić przy użyciu przecinków lub spacji.
Parametrowi temu odpowiada przełącznik linii poleceń
-XF=maski_plików
, gdzie w miejsce parametru
maski_plików
należy wpisać maski plików, które mają być wykluczone z procesu testowania.
3. Nazwy katalogów podawane w linii ExcludeDir należy oddzielić przy użyciu przecinków lub spacji.
Parametrowi temu odpowiada przełącznik linii poleceń
-XD=nazwy_katalogów nazwy_katalogów
należy wpisać nazwy katalogów, które mają być
, gdzie w miejsce parametru
wykluczone z procesu testowania. Katalogi zdefiniowane w liniach
InfectedFolder, SuspiciousFolder
CorruptedFolder
oraz
oraz
pliku
39
39
3939
USTAWIENIA
profilu (patrz podrozdział 5.4.3) będą automatycznie ignorowane podczas testu.
Jeżeli występuje podejrzenie zainfekowania komputera należy
wpisać wartość testowania oraz wartość 2 w linii zapobiegawczych należy wpisać wartość Yes liniach Sectors oraz
Files
archiwa i spakowane pliki uruchamialne.
, wartość 0 w linii
Yes
dla wszystkich obiektów przeznaczonych do
FileMask
FileMask
oraz wyłączyć narzędzia testujące
. Dla codziennych testów
5.3.2.4. Spakowane pliki uruchamialne
Dzięki mechanizmowi Unpacking Engine, Scanner umożliwia wyszukiwanie wirusów w spakowanych plikach uruchamialnych stosując swoiste mechanizmy rozpakowujące.
Spakowane pliki uruchamialne zawierają specjalne moduły rozpakowujące. Gdy taki plik jest uruchamiany, moduł rozpakowuje program do pamięci RAM i uruchamia go. Narzędzia pakujące mogą umieścić wirusa w pliku razem z plikami niezainfekowanymi. Jeżeli plik taki będzie testowany przy użyciu konwencjonalnego skanera antywirusowego, zainfekowany plik nie zostanie wychwycony, ponieważ ciało wirusa jest spakowane wraz z kodem programu.
Aby uruchomić mechanizm testujący pliki spakowane
(Unpacking Engine),
należy wpisać wartość
Parametrowi temu odpowiada przełącznik linii poleceń -U[-].
Przełącznik -U wyłącza, natomiast -U- włącza testowanie plików spakowanych.
Mechanizm unpacking engine rozpakowuje pliki wykonane przy użyciu większości popularnych narzędzi pakujących (DIET, PKLITE, LZEXE, EXEPACK itp.) do tymczasowego katalogu, w którym Scanner może je przetestować. Po zakończeniu procesu testowania pliki tymczasowe są usuwane.
Unpacking Engine tworzy pliki tymczasowe w katalogu określonym
poprzez parametr się w profilu (patrz podrozdział 5.4.2).
Yes
w linii
TempPath
Packed
w sekcji
pliku profilu.
[TempFiles]
, która znajduje
40
40
4040
USTAWIENIA
Jeżeli w spakowanym pliku zostanie wykryty wirus rozpoznawany przez program Kaspersky Anti-Virus for Linux, możliwe będzie usunięcie takiego wirusa (jeżeli Scanner został odpowiednio skonfigurowany — patrz podrozdział 5.3.3). W takim przypadku zainfekowany plik zostanie zastąpiony plikiem rozpakowanym i wyleczonym. Jeżeli mechanizm leczenia plików spakowanych jest wyłączony, Scanner może wykrywać tylko wirusy, które zaatakowały pliki już po ich spakowaniu.
Unpacking Engine może prawidłowo rozpakowywać pliki, które zostały skompresowane wielokrotnie. Może również współpracować z programami zabezpieczającymi pliki spakowane (przykładowo, CPAV oraz F-XLOCK) oraz z narzędziami szyfrującymi (takimi jak CryptCOM).
Jeżeli mechanizmy Unpacking Engine oraz Extracting Engine są aktywne,
Kaspersky Anti-Virus for Linux
może wykrywać zainfekowane pliki, nawet jeżeli zostały one zaszyfrowane przy użyciu programu CryptCOM, spakowane za pomocą PKLITE i umieszczone w archiwum PKZIP.
5.3.2.5. Archiwa
Dzięki mechanizmowi Extracting Engine, Scanner może wykrywać wirusy w plikach zapisanych w archiwach (włącznie z archiwami samorozpakowującymi się). Został on zaprojektowany w celu wykrywania wirusów w plikach zarchiwizowanych przy użyciu popularnych programów archiwizujących: ZIP, ARJ, LHA, RAR, CAB itp.
Możliwość wykrywania wirusów w archiwach jest bardzo ważna,
ponieważ zainfekowany plik może być nieświadomie przechowywany w archiwum przez bardzo długi okres czasu i pewnego dnia (po rozpakowaniu archiwum przez użytkownika) zaatakować system.
Aby włączyć Extracting Engine należy:
1. Wpisać
Yes
w linii
mechanizm ma pozostać wyłączony należy wpisać No).
2. Wpisać
Yes
w linii
(w celu testowania archiwów samo rozpakowujących się). Jeżeli mechanizm ten ma pozostać wyłączony należy wpisać
No.
Archives
znajdującej się w profilu (jeżeli
SelfExtArchives
znajdującej się w profilu
41
41
4141
USTAWIENIA
Parametrowi
A[-]
. Przełącznik -A wyłącza, natomiast
Extracting Engine.
Scanner nie może rozpakowywać archiwów zabezpieczonych
hasłem. Scanner nie usuwa wirusów z plików zapisanych w archiwach lecz tylko je wykrywa.
Extracting Engine tworzy pliki tymczasowe w katalogu określonym
poprzez parametr się w profilu (patrz podrozdział 5.4.2).
Extracting Engine zauważalnie spowalnia proces testowania. Z tego

powodu włączanie tego mechanizmu zalecane jest tylko w przypadku zaistnienia podejrzenia obecności wirusa w zarchiwizowanych plikach.
Archives
TempPath
temu odpowiada przełącznik linii poleceń
-A-
włącza mechanizm
w sekcji
[TempFiles]
, która znajduje
-
5.3.2.6. Pocztowe bazy danych oraz
pocztowe formaty tekstowe
Scanner umożliwia wykrywanie wirusów w pocztowych bazach danych i w pocztowych formatach tekstowych.
Testowanie pocztowych baz danych, a w szczególności pocztowych formatów tekstowych znacznie spowalnia proces testowania. Z tego powodu nie zaleca się wyłączenie tych opcji podczas wykonywania testów rutynowych.
Scanner tylko wykrywa wirusy w pocztowych bazach danych i w
pocztowych formatach tekstowych. Program nie usuwa wirusów wykrytych w tych plikach.
Kaspersky Anti-Virus for Linux wykrywa wirusy w pocztowych bazach danych następujących typów:
Microsoft Outlook, Microsoft Outlook Express (pliki *.pst oraz
*.pab); Microsoft Internet Mail (pliki *.mbx); Eudora Pro & Lite; Pegasus Mail; Netscape Navigator Mail;
42
42
4242
USTAWIENIA
Serwer JSMail SMTP/POP3 (baza danych użytkowników).
Aby uaktywnić wykrywanie wirusów w pocztowych bazach
danych,
należy wpisać przeciwnym wypadku należy wpisać No.
Parametrowi temu odpowiada przełącznik linii poleceń
Przełącznik pocztowych baz danych.
Podczas testowania pocztowych baz danych Kaspersky Anti-Virus for Linux skanuje wszystkie ich elementy oraz załączniki. Obsługiwane są formaty następujących typów: UUEncode; XXEncode; btoa (do wersji
5.0); btoa 5.*; BinHex 4.0; ship; NETRUN 3.10; NETSEND 1.0 (nie spakowane); NETSEND 1.0C (spakowane); MIME base64.

Aby uaktywnić wykrywanie wirusów w pocztowych formatach
tekstowych,
należy wpisać przeciwnym wypadku należy wpisać No.
Parametrowi temu odpowiada przełącznik linii poleceń
Przełącznik pocztowych formatów tekstowych.
Yes
w linii
-MD
włącza, natomiast
Yes
w linii
-MP
włącza, natomiast
MailBases
MailPlain
znajdującej się w profilu. W
-MD[-]
-MD-
znajdującej się w profilu. W
-MP-
wyłącza testowanie
-MP[-]
wyłącza testowanie
.
.
Podczas testowania pocztowych formatów tekstowych Kaspersky Anti-Virus for Linux skanuje nagłówek każdej wiadomości oraz załączone dane (UUEncode, XXEncode itp.).
5.3.2.7. Osadzone obiekty OLE
Aby uaktywnić wykrywanie wirusów w obiektach OLE
osadzonych w testowanych plikach,
należy wpisać Yes w linii Embedded znajdującej się w profilu. W przeciwnym wypadku należy wpisać No.
43
43
4343
USTAWIENIA
5.3.3. Definiowanie reakcji na
wystąpienie zainfekowanych,
podejrzanych oraz uszkodzonych
obiektów
W liniach sekcji [Object] znajdującej się w profilu możliwe jest określenie reakcji na wystąpienie zainfekowanych, podejrzanych lub uszkodzonych obiektów.
Jeżeli Kaspersky Anti-Virus for Linux wyświetli komunikat o
wykryciu podejrzanego pliku lub sektora, zaleca się skontaktowanie z działem pomocy technicznej. Obiekt taki należy wysłać do firmy Kaspersky Lab (przykładowo, pod adres newvirus@kaspersky.pl), gdzie zostanie on poddany analizie. Przed wysłaniem podejrzanego obiektu należy umieścić go w zabezpieczonym hasłem archiwum, wraz z hasłem.
W celu zdefiniowania reakcji na wystąpienie zainfekowanych,
podejrzanych lub uszkodzonych obiektów,
należy wpisać jedną z poniższych wartości dla parametru
InfectedAction
0 — zapisywanie w raporcie informacji o zainfekowanych,
podejrzanych oraz uszkodzonych obiektach. Informacje te będą
wyświetlane na ekranie i zapisywane w pliku raportu (patrz
podrozdział 5.4.4). W tym trybie program nie będzie leczył ani
usuwał zainfekowanych obiektów.
Wartości 0 podawanej dla parametru InfectedAction odpowiada
przełącznik linii poleceń
1 — umożliwia użytkownikowi wybór metody traktowania
zainfekowanych obiektów (patrz podrozdział 4.2.2).
Jest to tryb zalecany, ponieważ umożliwia on użytkownikowi

kontrolowanie procesu leczenia. Wartości 1 podawanej dla parametru InfectedAction odpowiada przełącznik linii poleceń
-I1
znajdującego się w profilu:
-I0
.
.
44
44
4444
USTAWIENIA
2
— leczenie wszystkich zainfekowanych obiektów bez pytania
o potwierdzenie. Jeżeli leczenie obiektu nie jest możliwe,
program zaproponuje jego usunięcie (patrz podrozdział 4.2.3).
Automatyczne leczenie zainfekowanych obiektów może być również
uaktywnione przy użyciu przełącznika linii poleceń — lub –I2. Dla trybu tego przeznaczone są także dwa dodatkowe przełączniki: –I2S (automatyczne leczenie zainfekowanych obiektów i pomijanie obiektów, których leczenie nie jest możliwe) oraz —I2D (automatyczne leczenie zainfekowanych obiektów i usuwanie obiektów, których leczenie nie jest możliwe).
3
— usuwanie zainfekowanych obiektów bez pytania o
potwierdzenie.
Wartości 3 podawanej dla parametru

przełączniki linii poleceń
–E
oraz
InfectedAction
–I3
.
odpowiadają
Podczas testowania Scanner może wykryć zainfekowane obiekty, których leczenie nie jest możliwe. W takim przypadku jedynym sposobem na zabezpieczenie komputera jest usunięcie takich obiektów.

W celu zdefiniowania reakcji na wystąpienie zainfekowanych
obiektów, których leczenie nie jest możliwe,
należy wpisać jedną z poniższych wartości dla parametru
IfDisinfImpossible
0
— zapisywanie w raporcie informacji o zainfekowanych
znajdującego się w profilu:
obiektach, których leczenie nie jest możliwe (patrz
podrozdział 4.2.3). Informacje te będą wyświetlane na ekranie i
zapisywane w pliku raportu (patrz podrozdział 5.4.4). W tym
trybie program nie będzie usuwał obiektów.
Wartości 0 podawanej dla parametru
IfDisinfImpossible
odpowiada przełącznik linii poleceń –I2S.
1
Wartości 1 podawanej dla parametru

odpowiada przełącznik linii poleceń
— usuwanie obiektów, których leczenie nie jest możliwe.
IfDisinfImpossible
–I2D.
Program może kopiować zainfekowane i podejrzane obiekty do określonego katalogu. Kopie takie mogą być w niektórych przypadkach bardzo użyteczne. Przykładowo, jeżeli Scanner usuwa zainfekowane
45
45
4545
USTAWIENIA
obiekty (wartość 3 w linii kopii do późniejszego odzyskania danych.
InfectedAction
), możliwe będzie wykorzystanie
W celu kopiowania zainfekowanych plików do określonego
katalogu,
należy wpisać
Katalog przeznaczony do przechowywania kopii zainfekowanych
plików musi być określony w sekcji (patrz podrozdział 5.4.3).
Yes
w linii BackupInfected znajdującej się w profilu.
[ActionWithInfected]
profilu
5.3.4. Definiowanie wykorzystania
zaawansowanych narzędzi
testujących
W liniach sekcji narzędzi testujących:
Zaawansowane narzędzie testujące
zmodyfikowanych wirusów. Jeżeli plik lub sektor zawiera takiego
wirusa lub podejrzany kod program wyświetla odpowiednie
ostrzeżenie.
Analizator kodu (heurystyczne narzędzie testujące)
sektory w poszukiwaniu kodu zbliżonego do instrukcji
wykonywanych przez wirusy.
Narzędzie przeprowadzające test redundancyjny
tylko punkty wejściowe plików wykorzystywane przez system
operacyjny lecz całą ich zawartość. W większości przypadków
wirusy dopisują do punktów wejściowych atakowanych plików
odwołania do niebezpiecznego kodu zapisanego wewnątrz pliku.
W celu usunięcia takiego wirusa wystarczające jest
uruchomienie konwencjonalnego skanera antywirusowego.
Jednak niektóre wirusy dzielą swój kod na kilka części i
umieszczają je w wolnych obszarach infekowanych plików. W
takim przypadku konwencjonalny skaner wyleczy tylko punkt
wejściowy oraz usunie główną część kodu wirusa z pliku, jednak
pozostałe elementy niebezpiecznego kodu pozostaną nietknięte.
[Object]
możliwe jest włączenie/wyłączenie następujących
szuka uszkodzonych i
testuje pliki i
skanuje nie
46
46
4646
USTAWIENIA
W przypadku takim konieczne będzie skorzystanie z testu
redundancyjnego.
Aby uaktywnić wyszukiwanie uszkodzonych oraz
zmodyfikowanych wirusów,
należy wpisać
Yes
w linii
Warnings
znajdującej się w profilu.
Aby uaktywnić analizator kodu wykrywający nieznane wirusy,
należy wpisać
Yes
w linii
Wartości tej odpowiada przełącznik linii poleceń
H
wyłącza, natomiast

Domyślnie analizator kodu jest zawsze włączony. Wyłączanie tej opcji nie jest zalecane!
Jeżeli analizator kodu wykryje podejrzane instrukcje (takie jak otwarcie pliku, zapisanie do niego danych, przechwytywanie systemowych przerwań itp.) plik, z którego je uruchomiono zostanie sklasyfikowany jako podejrzany, a program wyświetli odpowiedni komunikat:
Suspicion: <TYP>
gdzie <TYP> jest zastępowany jedną z poniższych możliwości:
Com—podejrzenie ataku wirusa infekującego pliki .COM;
CodeAnalyser
-H-
włącza analizator kodu.
znajdującej się w profilu.
-H[-]
. Przełącznik
-
Exe—podejrzenie ataku wirusa infekującego pliki .EXE;
ComExe—podejrzenie ataku wirusa infekującego pliki .COM
oraz .EXE;
ComTSR, ExeTSR, SysTSR, ComExeTSR—podejrzenie
ataku wirusa infekującego pliki .COM, .EXE oraz .SYS;
Boot—plik/sektor prawdopodobnie został zainfekowany boot-
wirusem lub programem instalującym boot-wirusy;
Trojan—plik prawdopodobnie jest koniem trojańskim;
Trivial—plik prawdopodobnie jest zainfekowany nieznanym
wirusem zastępującym pliki uruchamialne zapisane w bieżącym
katalogu swoim kodem (rozmiar takich wirusów zazwyczaj nie
przekracza 300 bajtów);
Win32—plik prawdopodobnie jest zainfekowany nieznanym
wirusem działającym w systemie Windows;
47
47
4747
USTAWIENIA
Formula—plik programu Excel zawierający podejrzane
instrukcje.
Jak każdy inny algorytm heurystyczny, analizator kodu może generować fałszywe alarmy. Jeżeli program wyświetli taki alarm należy wysłać podejrzany plik do firmy Kaspersky Lab gdzie zostanie on poddany analizie.
Uaktywnienie analizatora kodu wydłuża czas testowania o około 20%, jednak narzędzie to prawidłowo wykrywa ponad 92% nieznanych wirusów (wirusów nie zapisanych w antywirusowych bazach danych programu).

Aby uaktywnić test redundancyjny,
należy wpisać
Parametrowi temu odpowiada przełącznik linii poleceń -V[-].

Przełącznik -V włącza, natomiast
Uaktywnienie testu redundancyjnego jest zalecane jeżeli
standardowy test nie wykrywa żadnych wirusów, a zachowanie systemu jest podejrzane (przykładowo, komputer często się zawiesza lub restartuje, aplikacje pracują bardzo wolno itp.). W przeciwnym wypadku włączanie testu redundancyjnego nie jest zalecane, ponieważ powoduje on znaczne spowolnienie procesu testowania oraz zwiększenie prawdopodobieństwa występowania fałszywych alarmów.
Yes
w linii
RedundantScan
-V-
wyłącza test redundancyjny.
znajdującej się w profilu.
5.4. Ustawienia łączne lokalizacji
obiektów przeznaczonych do testowania
5.4.1. Ustawienia łączne
W przeciwieństwie do ustawień dla poszczególnych lokalizacji obiektów przeznaczonych do testowania definiowanych dla konkretnych sekcji
48
48
4848
USTAWIENIA
[Object]
łączne dotyczą wszystkich sekcji Ustawienia ogólne zgromadzone są w kilku sekcjach pliku defUnix.prf
(szczegółowe informacje na ten temat znajdują się w Dodatku В). Możliwe jest zdefiniowanie następujących ustawień ogólnych:
znajdujących się w profilu (patrz podrozdział 5.3), ustawienia
[Objects]
Ogólne parametry testowania oraz pracy skanera
antywirusowego (patrz podrozdział 5.4.2). Definiowanie testu oraz działania: Scanner oraz Daemon
wykorzystywane do obsługi zainfekowanych, podejrzanych oraz
uszkodzonych obiektów (patrz podrozdział 5.4.3). Generowanie raportu oraz statystyk (patrz podrozdział5.4.4).
zdefiniowanych w profilu.
5.4.2. Definiowanie ustawień testu oraz działania: Scanner oraz
Daemon
Ogólne parametry dotyczące działania programu znajdują się w sekcji
[Customize]
uaktualniania antywirusowych baz danych programu Kaspersky Anti­Virus for Linux
przypadku gdy bazy są zainfekowane. Możliwe jest również określenie jakie komunikaty będą wyświetlane przez program.
Ogólne parametry dotyczące testowania znajdują się w sekcjach
[Options]
Definiowanie ogólnych ustawień pracy programu testowania katalogów zapisanych na dyskach wymiennych, testowania łączy i podkatalogów oraz generowania plików tymczasowych.
Definiowanie ogólnych ustawień pracy programu
Nowe wirusy pojawiają się codziennie. Jeżeli program antywirusowy ma wydajnie chronić komputer konieczne jest regularne uaktualnianie antywirusowych baz danych.
profilu. Sekcja ta umożliwia określenie częstotliwości
oraz zdefiniowanie akcji jakie mają być podjęte w
oraz
[Tempfiles]
profilu. Parametry te umożliwiają określenie
49
49
4949
USTAWIENIA

W celu określenia częstotliwości wyświetlania przypomnienia o
aktualizacji należy:
1. Wpisać
[Customize]
Yes
w linii
profilu.
2. Wpisać interwał (w dniach) w linii
updatesCheck
znajdującej się w sekcji
updatesInterval
.
1. Aby uaktywnić zgłaszanie komunikatów o błędach należy
wpisać Yes w linii Othermessages znajdującej się w sekcji [Customize]
profilu. W przeciwnym wypadku należy wpisać No.
Aby program pytał o potwierdzenie chęci włączenia testu
redundancyjnego należy
wpisać
Yes
w linii
[Customize]
uruchamiał narzędzie testu redundancyjnego bez potwierdzania.
Opisywane ustawienie będzie wykorzystywane tylko dla lokalizacji,
dla których wpisano wartość (Yes) w linii znajdującej się w sekcji
Redundantmessage
znajdującej się w sekcji
profilu. W przeciwnym wypadku program będzie
[Object]
Redundantscan
.
Aby program pytał o potwierdzenie chęci usunięcia
zainfekowanego obiektu należy
wpisać
Yes
w linii
[Customize]
profilu. Jeżeli podana zostanie wartość No program
Deleteallmessage
znajdującej się w sekcji
będzie usuwał zainfekowane pliki bez informowania o tym użytkownika.
Opisywane ustawienie będzie wykorzystywane tylko dla lokalizacji,
dla których wpisano wartość 3 w linii w sekcji
[Object]
.
InfectedAction
znajdującej się
Aby program kończył swoje działanie w przypadku wykrycia
uszkodzonych antywirusowych baz danych należy
wpisać
Yes
w linii
[Customize]
ExitOnBadBases
znajdującej się w sekcji
profilu. W przeciwnym wypadku należy wpisać No.
50
50
5050
USTAWIENIA

Aby program wykorzystywał rozszerzone kody wyjścia w
raporcie należy
wpisać
Yes
w linii
[Customize]
Definiowanie ogólnych ustawień operacji skanowania
Useextendedexitcode
znajdującej się w sekcji
profilu. W przeciwnym wypadku należy wpisać No.
Aby program pomijał dane zapisane na wymiennych dyskach
podczas testowania całego systemu plików (domyślnie ten typ mediów jest także sprawdzany) należy
wpisać
No
w linii
ScanRemovable
znajdującej się w sekcji
[Options]
profilu. W przeciwnym wypadku należy wpisać Yes.
Aby test podkatalogów odbywał się jako ostatni (po
zakończeniu przetwarzania obiektów przeznaczonych do testu) należy
wpisać
[Options]
Opisywane ustawienie będzie wykorzystywane tylko dla lokalizacji,

Yes
w linii
profilu. W przeciwnym wypadku należy wpisać No.
dla których wpisano wartość ( znajdującej się w sekcji
ScanSubDirAtEnd
Yes)
w linii
[Object]
(patrz podrozdział 5.3.1).
znajdującej się w sekcji
SubDirectories

Aby określić, czy i jak program będzie testował dowiązania
symboliczne należy
wpisać jedną z poniższych wartości w linii
Symlinks
znajdującej się w
sekcji [Options]:
0
— program nie będzie testował plików i katalogów dostępnych
poprzez dowiązania symboliczne.
Wartości 0 podanej w linii
poleceń
-LP
.
Symlinks
odpowiada przełącznik linii
1 — program będzie testował pliki i katalogi dostępne poprzez
dowiązania symboliczne określone w wierszu poleceń. Pozostałe dowiązania będą ignorowane. Jest to ustawienie domyślne.

poleceń
Wartości
1
podanej w linii
-LH
.
Symlinks
odpowiada przełącznik linii
51
51
5151
USTAWIENIA
2 —
program będzie testował pliki i katalogi dostępne poprzez
dowiązania symboliczne.
Wartości 2 podanej w linii

poleceń

Cztery opisane poniżej parametry sekcji [Options] dotyczą tylko programu Scanner. Parametry te nie działają bez aktywnego pliku klucza oraz nie są dostępne w programie Kaspersky Anti-Virus Rescue Disk.

Aby program testował kilka plików jednocześnie należy:
1. Wpisać
2. Określić maksymalną ilość plików testowanych jednocześnie

Aby uaktywnić testowanie w pętli należy:
1. Wpisać
2. Określić interwał między pętlami (w sekundach) w linii
-LL
.
Yes
w linii
należy wpisać No.
w linii
należy wpisać No.
ScanDelay
wartość -1.
LimitForProcesses
Yes
w linii
. Dla interwału równego zeru należy wpisać
Symlinks
ParallelScan
EndlesslyScan
odpowiada przełącznik linii
. W przeciwnym wypadku
.
. W przeciwnym wypadku

Aby program tworzył pliki tymczasowe w pamięci (nie będą one
zapisywane na dysku) należy:
1. Wpisać
[Tempfiles] profilu. W przeciwnym wypadku należy wpisać No.
twardym.
2. Aby ograniczyć rozmiar plików tymczasowych tworzonych w pamięci należy określić maksymalny rozmiar (w kilobajtach) w linii rozmiar przekroczy zdefiniowany limit zostanie zapisany na dysku.
Opisywane ustawienie będzie wykorzystywane tylko dla lokalizacji,
dla których wpisano wartość ( znajdującej się w sekcji [Tempfiles] profilu.
Yes
w linii
Wtedy pliki tymczasowe będą tworzone na dysku
LimitForMemFiles
UseMemoryFiles
. Każdy plik tymczasowy, którego
Yes)
w linii
znajdującej się w sekcji
UseMemoryFiles
52
52
5252
USTAWIENIA
3. Aby ograniczyć rozmiar plików rozpakowywanych w pamięci należy określić maksymalny rozmiar (w kilobajtach) w linii MemFilesMaxSize. W takim przypadku, jeżeli rozpakowywany w pamięci plik przekroczy podany rozmiar operacja zostanie zakończona, a na dysku zostanie utworzony plik tymczasowy.
Opisywane ustawienie będzie wykorzystywane tylko dla lokalizacji,

dla których wpisano wartość ( znajdującej się w sekcji

Wartości podawane w liniach LimitForMemFiles oraz MemFilesMaxSize nie mogą przekraczać ilości dostępnej
pamięci RAM.

Aby określić katalog, w którym program będzie zapisywał pliki
tymczasowe należy,
[Tempfiles]
Yes)
w linii
UseMemoryFiles
profilu.
wpisać ścieżkę dostępu w linii TempPath. Przykładowo,
TempPath=/tmp
5.4.3. Definiowanie reakcji na
wystąpienie zainfekowanych i
podejrzanych obiektów
Trzy poniższe sekcje umożliwiają zdefiniowanie reakcji jakimi program odpowie w przypadku wystąpienia zainfekowanych, podejrzanych lub uszkodzonych obiektów:
Parametry sekcji
zainfekowanych obiektów.
Parametry sekcji
podejrzanych obiektów.
[ActionWithInfected]
[ActionWithSuspicion]
definiują obsługę
definiują obsługę
Parametry sekcji
uszkodzonych obiektów.
[ActionWithCorrupted]
53
53
5353
definiują obsługę
USTAWIENIA

Aby program kopiował zainfekowane pliki do specjalnego
katalogu należy
w sekcji
Wpisać Określić ścieżkę dostępu do katalogu w linii
[ActionWithInfected]
Yes
w linii
Domyślna ścieżka dostępu to /infected.
InfectedCopy
profilu:
.
InfectedFolder
Aby program kopiował podejrzane pliki do specjalnego
katalogu należy
w sekcji [ActionWithSuspicion] profilu:
Wpisać Określić ścieżkę dostępu do katalogu w linii
Domyślna ścieżka dostępu to
Yes
w linii
SuspiciousCopy
/suspicious
SuspiciousFolder
.
Aby program kopiował uszkodzone pliki do specjalnego
katalogu należy
w sekcji
Wpisać
[ActionWithCorrupted]
Yes
w linii
CorruptedCopy
profilu:
.
.
.
Określić ścieżkę dostępu do katalogu w linii
Domyślna ścieżka dostępu to

Aby program kopiował zainfekowane, podejrzane oraz
uszkodzone pliki wraz ze ścieżkami dostępu należy
wpisać Yes w liniach CopyWithPaths znajdujących się w powyższych sekcjach. W przeciwnym wypadku należy wpisać No.

Zalecane jest uaktywnienie powyższej opcji, ponieważ w różnych katalogach mogą być zapisane pliki o podobnych lub jednakowych nazwach.
/corrupted
CorruptedFolder
.
Aby program zmieniał rozszerzenia zainfekowanych,
podejrzanych oraz uszkodzonych plików należy
w opisanych powyżej sekcjach :
Wpisać
Yes
w liniach
ChangeExt
.
.
54
54
5454
USTAWIENIA
Określić docelowe rozszerzenie w linii
Przykładowo,
podejrzanych plików oraz corr dla uszkodzonych plików.
vir
dla zainfekowanych plików,
NewExtension
susp
dla
.
Aby program zmieniał właściciela plików, których leczenie nie
powiodło się należy
zdefiniować docelową nazwę właściciela w liniach powyższych sekcji. Aby program nie zmieniał właściciela należy wpisać
None
.
ChownTo
Aby program zmieniał atrybuty zainfekowanych, podejrzanych
oraz uszkodzonych plików, których leczenie nie powiodło się należy
określić docelową maskę atrybutu w liniach sekcji. Przykładowo, wartość
Odczyt przez wła ściciela, Zapis przez wła ściciela przez grupę
. Aby program nie zmieniał właściciela należy wpisać No.
640
ustawia następujące atrybuty:
ChModTo
powyższych
oraz
Odczyt

Podczas pracy z zainfekowanymi i podejrzanymi obiektami oraz z ich kopiami należy postępować bardzo ostrożnie! Nigdy nie należy uruchamiać zainfekowanych plików uruchamialnych.
5.4.4. Definiowanie ustawień raportu
Aby przeglądanie rezultatów testu wykonywanego przez program było możliwe należy zdefiniować parametry zgromadzone w sekcji znajdującej się w profilu. Sekcja ta umożliwia również włączenie lub wyłączenie umieszczania dodatkowych informacji w raporcie.
Aby program tworzył plik raportu należy:
1. Wpisać
2. Określić nazwę pliku raportu w linii domyślna to report.txt.
Yes
w linii
Report
.
ReportFileName
[Report]
. Wartość
Jeżeli nazwa pliku raportu zostanie poprzedzona znakiem „~” plik
ten zostanie utworzony w katalogu domowym.
55
55
5555
USTAWIENIA

Aby ograniczyć rozmiar pliku raportu należy:
Wpisać Określić maksymalny rozmiar pliku raportu (w kilobajtach) w linii
ReportFileSize.
Yes
w linii
ReportFileLimit
.
Aby program dopisywał raport do istniejącego pliku należy
wpisać nadpisywany należy wpisać No.

Aby program zapisywał informacje o każdym testowanym
obiekcie należy
wpisać
Yes
Yes
w linii
w linii
Append
RepForEachDisk
. Jeżeli plik raportu ma być zawsze
.
Aby określić maskę atrybutów pliku raportu należy
wpisać numer żądanej maski w linii
RepCreateFlag=600

Aby podczas zapisywania raportu program stosował powrót karetki oraz znaki linefeed (zakończenia linii) w celu oddzielania wpisów należy
RepCreateFlag
. Przykładowo,
wpisać znakami linefeed. W niektórych edytorach tekstu może to powodować nieprawidłowe wyświetlanie.
W celu zdefiniowania pliku raportu można również użyć przełącznika
linii poleceń nazwą pliku raportu (domyślna nazwa to przełącznika litery A spowoduje dopisywanie raportu do pliku, natomiast, gdy użyta zostanie litera T plik raportu będzie zawsze nadpisywany nową zawartością. Użycie znaku + spowoduje dodanie do raportu szczegółowych informacji.
Program może zapisywać rezultaty testu w raporcie systemowym lub w raporcie użytkownika.
Yes
w linii
-W[T][A][+][=nazwa pliku]
UseCR
. Domyślnie linie raportu oddzielane są tylko
, gdzie
report.txt
nazwa pliku
). Dodanie do
jest
Aby program zapisywał rezultaty testu do raportu systemowego
należy
wpisać dodawane do pliku zdefiniowanego przez użytkownika.
Yes
w linii
UseSysLog
Wpisując No rezultaty testu będą
56
56
5656
USTAWIENIA
Podanie wartości (
wyłączenie parametrów: ReportFileLimit, ReportFileSize oraz RepCreateFlag.

Dwa poniższe parametry mogą być wykorzystane tylko wtedy, gdy
proces demona wywoływany jest z pliku skryptu.
Yes)
w linii
ReportFileName, Append
UseSysLog
spowoduje automatyczne
,
Aby program dodawał rezultaty testu do pliku zdefiniowanego
przez użytkownika należy:
1. Wpisać
2. Zdefiniować nazwę pliku w linii

Jeżeli nazwa pliku zostanie poprzedzona znakiem „~” plik ten będzie
utworzony w katalogu domowym.
Yes
w linii
UserReport
.
UserReportName
.
Aby program dodawał do raportu szczegółowe informacje
należy
wpisać
Yes
w linii
ExtReport
.

Poniższe parametry umożliwiają zdefiniowanie opcjonalnych informacji zapisywanych w raporcie:
WriteTime
informacji przez program. Aby uaktywnić tę opcję należy wpisać
Yes
.
WriteTimeInfo
modyfikacji, oraz rozmiar każdego zainfekowanego obiektu. Aby uaktywnić tę opcję należy wpisać
ShowOK
obiektach. Aby uaktywnić tę opcję należy wpisać
Parametrowi temu odpowiada przełącznik linii poleceń -O[-].

Przełącznik -O włącza, natomiast informacji o niezainfekowanych obiektach.
ShowPack
obiektach spakowanych. Aby uaktywnić tę opcję należy wpisać
Yes
.
– zapisywana będzie data i czas wyświetlenia
– zapisywana będzie data i czas ostatniej
Yes
.
— zapisywane będą informacje o niezainfekowanych
Yes
-O-
wyłącza zapisywanie
zapisywane będą informacje o archiwach i
.
57
57
5757
USTAWIENIA
Parametrowi temu odpowiada przełącznik linii poleceń
Przełącznik -K włącza, natomiast
-K-
wyłącza zapisywanie informacji
-K[-]
o archiwach i obiektach spakowanych.
Showpassworded
— zapisywane będą informacje o archiwach
zabezpieczonych hasłem. Aby uaktywnić tę opcję należy wpisać
Yes
.
ShowSuspicion
zapisywane będą informacje o
podejrzanych obiektach. Aby uaktywnić tę opcję należy wpisać
Yes
.
Showwarning — zapisywane będą informacje o obiektach
prawdopodobnie zainfekowanych modyfikacjami znanych wirusów. Aby uaktywnić tę opcję należy wpisać
Showcorrupted
— zapisywane będą informacje o
Yes
uszkodzonych obiektach. Aby uaktywnić tę opcję należy wpisać
Yes.
Showunknown
— zapisywane będą informacje o wykryciu
nieznanych wirusów. Aby uaktywnić tę opcję należy wpisać
.
.
Yes
.
58
58
5858
R
ozdział
6.
6. Proces Daemon: Integrowanie
6.6.
Proces Daemon: Integrowanie
Proces Daemon: Integrowanie Proces Daemon: Integrowanie ochrony antywirusowej z
ochrony antywirusowej z
ochrony antywirusowej z ochrony antywirusowej z klientami
klientami
klientamiklientami
6.1. Cechy programu Daemon
Opis funkcji oraz możliwości programu.
Proces antywirusowy kavdaemon został stworzony w celu integracji ochrony antywirusowej z oprogramowaniem klienckim (na przykład Monitor) na komputerze pracującym pod kontrolą systemu operacyjnego Linux. Daemon działa jako proces systemowy i dziedziczy wszystkie funkcje programu Scanner, dlatego opis programu Scanner odnosi się również do programu Daemon.
W przeciwieństwie do programu Scanner, Daemon ładuje antywirusowe bazy danych do pamięci tylko raz, podczas pierwszego uruchomienia. Powoduje to znaczne zmniejszenie ilości czasu potrzebnego do wykonania testu. Cecha ta powoduje, że Daemon może być z powodzeniem wykorzystywany na serwerach pocztowych oraz WWW działających pod
59
59
5959
DAEMON
kontrolą systemu Linux. Wszystkie obiekty docierające do takich serwerów powinny być testowane na obecność wirusów.
Daemon posiada wszystkie funkcje programów antywirusowych znanych z innych platform i umożliwia wykrywanie wirusów we wszystkich typach plików (włącznie z archiwami, plikami spakowanymi oraz plikami poczty elektronicznej). Daemon udostępnia także mechanizm heurystycznego wykrywania wirusów oraz testowanie redundancyjne. Proces może pełnić funkcje serwera oraz klienta.
Instalacja, konfiguracja oraz uaktualnianie antywirusowych baz danych przebiega podobnie jak w przypadku programu Scanner. Różni się jedynie linia poleceń oraz zestaw dostępnych przełączników (patrz podrozdział 6.2).
6.2. Uruchamianie procesu Daemon
Linia poleceń programu Daemon. Przełączniki linii poleceń charakterystyczne dla procesu Daemon. Profile.
Daemon może być uruchomiony z poziomu linii poleceń, z pliku skryptowego lub poprzez programy użytkownika.

Jeżeli podczas uruchamiania program Daemon nie zlokalizuje pliku klucza, to uruchomi się w trybie demonstracyjnym, tzn. wyłączone zostaną opcje poszukiwania wirusów w archiwach oraz wiadomościach pocztowych, a także wyboru akcji przez użytkownika w przypadku wykrycia wirusa.
Ogólny format linii poleceń procesu Daemon wygląda następująco:
./kavdaemon [przełącznik1 ] [przełącznik 2] [...] [przełącznik #] [ś cieżka]
gdzie
[przełącznik …]
poleceń;
jest opcjonalnym przełącznikiem wiersza
60
60
6060
DAEMON
[ś cież ka]
to opcjonalna ścieżka systemu Linux definiująca
lokalizację do sprawdzenia.
Znaczenie ścież ki w przypadku wiersza poleceń procesu Daemon

jest inne niż dla programu Scanner. W przypadku programu Scanner parametr ten określa lokalizację obiektów przeznaczonych do testowania, natomiast w przypadku procesu Daemon ścieżka określa listę lokalizacji obiektów przeznaczonych do testowania (przykładowo parametr Object znajdujący się w profilu). Obiekty przeznaczone do testowania definiowane są poprzez przełącznik
-o
(patrz poniżej).
Większość przełączników linii poleceń procesu Daemon jest identyczna jak w przypadku programu Scanner (patrz Dodatek B). Wyjątek stanowią przełączniki -D oraz -@!. Niektóre przełączniki przeznaczone są tylko dla linii poleceń procesu Daemon:
-q
zamyka proces po zakończeniu testowania i leczenia bez uruchamiania procesu demona. Przełącznik ten może być użyty tylko wtedy, gdy Deamon nie jest uruchomiony.
-k
zabija główny proces Daemon. Nie zaleca się korzystania z tego przełącznika.
-ka
zabija wszystkie uruchomione procesy Daemon (zarówno proces główny jak i procesy potomne).
-v
wyświetla numer wersji.
-o{ lista plików, katalogów lub dowiązań symbolicznych
oddzielonych dwukropkami}
testuje określone pliki, katalogi oraz dowiązania symboliczne. Jeżeli dostęp do obiektów nie będzie możliwy zostaną one pominięte.
-f= nazwa katalogu
tworzy w zdefiniowanym katalogu pliki AvpCtl oraz AvpPid. Jeżeli Daemon nie jest uruchomiony z poziomu użytkownika root, dostęp do
61
61
6161
DAEMON
niektórych plików może być zabroniony. W takim przypadku należy użyć przełącznika
–f
podczas uruchamiania procesu Daemon.
-WU[=nazwa pliku tymczasowego]
definiuje plik tymczasowy, w którym Daemon będzie zapisywał rezultaty testu.
Podczas uruchamiania procesu Daemon inicjowane są dwa dodatkowe procesy: pierwszy obsługuje wywołania programów klienckich natomiast drugi opisuje rezultaty działania pierwszego procesu. Możliwe jest wyłączenie drugiego procesu.
-dl
— wyłącza start drugiego procesu programu Daemon.
Linia poleceń programu Daemon wygląda następująco:
./kavdaemon /home -o{/home/my_mail} -A -K
Jeżeli Daemon nie wykryje drugiego aktywnego procesu Daemon, działa podobnie do programu Scanner (patrz podrozdział 4.2), po czym uruchamia proces Daemon. Dzieje się tak tylko wtedy, gdy nie użyto przełącznika -q. Jeżeli przełącznik ten został podany w linii poleceń proces Daemon nie zostanie uruchomiony.
Po uruchomieniu procesu program Daemon łączy się z nim i używa tego połączenia do przesyłania parametrów podawanych z poziomu linii poleceń. Następnie proces wykorzystuje połączenie do przesyłania rezultatów testowania. Gdy test zostanie zakończony program zrywa połączenie.
Aby program Daemon mógł się poprawnie uruchamiać plik

inicjalizacyjny AvpUnix.ini (patrz Dodatek B) musi znajdować się w tym samym katalogu co moduł Daemon. Jeżeli plik uruchamialny kavdaemon zostanie przeniesiony do innego katalogu, plik AvpUnix.ini musi być również skopiowany do tego samego katalogu i odpowiednio zredagowany.
Aby zoptymalizować proces ładowania można ustalić priorytet
procesu głównego oraz procesów potomnych. W tym celu należy zmienić wartości parametrów Father oraz Child znajdujące się w sekcji
[Priority]
profilu.
62
62
6262
DAEMON
6.3. Wywoływanie procesu z
programu klienckiego
Jak wywołać proces z programu klienckiego? Przykład.
Aby wywołać istniejący proces Daemon z programu klienckiego
należy:
1. Utworzyć gniazdko.
2. Połączyć gniazdko z programem Daemon.
3. Wpisać odpowiednią komendę do gniazdka. Format komendy jest następujący:
Pole
<flagi>data_i_czas:parametr_komendy
<flagi>
należy zastąpić jedną z poniższych wartości:
0
parametr_komendy przesyła nazwę pliku oraz
parametry linii poleceń. W najprostszym przypadku przesłana zostanie tylko nazwa pliku a komenda będzie miała następującą postać:
<0>27 Mar 1 3:40:11:/tmp/test.tgz.
będzie nazwa pliku oraz parametry linii poleceń format komendy będzie następujący:
<flagi>data_i_czas: 0xfeparametr1[|parametr2[|parametr3[…]]] 0xfeścieżka1 [;ścież ka2[;ścieżka3[…]]]
gdzie:
0xfe
oznacza początek sekcji;
[parametrN]
znaku wiodącego „–„);
określa parametr linii poleceń (bez
Jeżeli przesyłana
ścież kaN
przeznaczonych do testu.
Ilość ścieżek i parametrów nie jest ograniczona.
określa ścieżkę dostępu do obiektów
63
63
6363
DAEMON
3 parametr_komendy przesyła parametry
pamięci współdzielonej, w której zostały umieszczone testowane obiekty. Tryb ten wykorzystywany jest do testowania obiektów zanim zostaną one zapisane na dysku. W takim przypadku format komendy będzie następujący:
<flags> data_i_czas:<przełącznik|rozmiar|>
gdzie:
| jest znakiem oddzielającym sekcje;
switch
jest wartością pobraną przy użyciu funkcji
ftok();
length
jest rozmiarem pamięci współdzielonej.
Wartość 3 może być wykorzystywana tylko w serwerowej wersji
programu Daemon.
4 — wyświetla numer wersji.
4. Odczytać rezultaty testu z gniazdka. Rezultaty odczytywane są w postaci dwóch bajtów. Młodszy bajt zawiera standardowe kody wyjścia lub wartość 0x3f (jeżeli program kliencki musi przesłać dodatkowe informacje, które będą uwzględnione przez proces Daemon). Starszy bajt zawiera flagi definiujące źniejsze operacje. Wartość 0x2 w starszym bajcie oznacza, że do odczytu muszą być wykorzystane 4 bajty zawierające dodatkowo rozmiar pamięci współdzielonej, w której znajduje się wyleczony obiekt. Wartość 0x2 może występować tylko wtedy, gdy podczas przesyłania danych flaga została zmieniona na 3 (lub
1),
a kod wyjścia ma wartość 5. W takim przypadku konieczne będzie otwarcie pamięci współdzielonej i odczytanie z niej testowanego obiektu. Wartość 0x1 w starszym bajcie oznacza, że do odczytu muszą być wykorzystane 4 bajty zawierające bufor raportu oraz jego rozmiar.
5. Usunąć gniazdko.
Przykład wywoływania procesu Daemon (program
AvpDaemonClient) znajduje się w pakiecie dystrybucyjnym. Pakiet ten zawiera również program kliencki Monitor (patrz rozdział 7).
64
64
6464
DAEMON
Przykłady oraz programy klienckie dostarczone są w postaci kodów
źródłowych zawierających opis metod użytych w celu wywołania
programu Daemon z poziomu oprogramowania klienckiego.
65
65
6565
7.
ł
7. Anti
7.7.
Anti----Virus Monitor:
AntiAnti antywirusowe monitorowanie
antywirusowe monitorowanie
antywirusowe monitorowanie antywirusowe monitorowanie systemu
systemu
systemusystemu
Virus Monitor:
Virus Monitor: Virus Monitor:
Rozdzia
7.1. Możliwości i funkcje
Funkcje i możliwości programu Monitor.
Monitor został stworzony w celu poszukiwania wirusów w plikach podczas każdorazowej operacji ich otwarcia, zapisu czy wykonywania. Program obsługuje pliki systemu Linux, FTP, HTTP, HTTP Proxy, POP3, Samba i innych serwerów sieciowych, których systemy plików znajdują się na lokalnym komputerze.
Gdy program jest zainstalowany (patrz podrozdział 7.2.1), skonfigurowany (patrz podrozdział 7.2.2) i uruchomiony (patrz podrozdział 7.3) może on spełniać następujące funkcje:
Zapobiegać otwarciu, uruchomieniu lub zapisaniu
zainfekowanego pliku na lokalnym i zamontowanym systemie plików lokalnego komputera.
66
66
6666
MONITOR
Zapisywać wyniki wykonywanych działań do pliku logów.
Monitor jest klientem procesu Daemon, który musi być

zainstalowany i skonfigurowany aby Monitor mógł być uruchomiony.
7.2. Kompilacja i konfiguracja
Kompilacja antywirusowego modułu jądra Linux i monitora antywirusowego. Edycja pliku konfiguracyjnego programu Monitor.
7.2.1. Kompilacja programu Monitor
Aby włączyć funkcję monitorowania otwieranych, zapisywanych lub wykonywanych plików należy najpierw zainstalować i skompilować antywirusowy moduł jądra systemu Linux. Moduł ten zwany klmon jest dostarczany razem z programem Monitor.
Podstawową cechą tego modułu jest jego konstrukcja, która pozwala na uruchomienie i zatrzymanie monitora antywirusowego bez restartu systemu Linux.

Monitor spełnia swoją funkcję wyłącznie w połączeniu z antywirusowym modułem klmon i programem Daemon.
Rysunek 9 przestawia proces antywirusowego monitorowania systemu plików Linux.
Rysunek 1. Proces monitorowania
67
67
6767
MONITOR
Zaraz przed otwarciem, zapisaniem lub wykonaniem plik w systemie plików Linux jest interpretowany przez moduł antywirusowy i przesyłany do programu Monitor. Monitor przetwarza plik i przekazuje jego nazwę do procesu demona, który sprawdza plik w poszukiwaniu wirusów. Jeżeli plik nie jest zainfekowany, Daemon zwraca odpowiedni kod do programu Monitor, który następnie informuje moduł antywirusowy o udzieleniu pozwolenia na pracę z tym plikiem. W przypadku gdy plik jest zainfekowany, proces demon zwraca kod błędu i Monitor zwalnia moduł antywirusowy z pracy z tym plikiem. Plik jest przejmowany przez proces demona stosujący zdefiniowane wcześniej ustawienia. Jak widać jest to łańcuch połączonych programów, w którym każdy komponent nie może spełniać swoich funkcji bez innych.
Antywirusowy moduł klmon oraz Monitor są dostarczane w postaci kodów źródłowych, dlatego też przed uruchomieniem muszą zostać skompilowane.
Po instalacji (patrz rozdział 2) źródła programu Monitor oraz podkatalog
module.linux
się w katalogu

Wyłącznie administrator (użytkownik root) jest uprawniony do kompilowania oraz instalowania modułu antywirusowego.

Aby zainstalować i skompilować moduł antywirusowy oraz
program Monitor, należy wykonać następujące kroki:
1. Za pomocą komendy cd przejść do katalogu zawierającego
2. Skompilować moduł za pomocą komendy make. Proces

Moduł jądra musi zostać skompilowany w systemie operacyjnym Linux na którym będzie uruchomiony.
Należy zwrócić uwagę, że moduł antywirusowy musi odpowiadać
wersji jądra, ponieważ użycie niepoprawnego modułu może spowodować zniszczenie systemu. Aby wyświetlić numer wersji jądra systemu Linux, należy wpisać w linii poleceń komendę uname –a. Jeżeli jądro systemu Linux zostało uaktualnione, należy ponownie skompilować moduł antywirusowy.
zawierający kod źródłowy modułu antywirusowego znajdują
kavmonitor.
kody źródłowe modułu antywirusowego. Na przykład:
cd /opt/AVP/kavmonitor/module.linux
kompilacji będzie wyświetlany na ekranie.
68
68
6868
MONITOR
3. Aby system operacyjny automatycznie uruchamiał moduł, należy dodać plik zawierający linię (gdzie <nazwa_pliku> jest pełną ścieżką dostępu do wykonywalnego pliku modułu) do odpowiedniego poziomu startowego. Na przykład:
4. Za pomocą komendy cd przejść do katalogu z kodem źródłowym monitora. Na przykład
5. Skompilować Monitor używając komendy make.
insmod monitor-2.2.1 8.о
insmod <nazwa_pliku>
cd /opt/AVP/kavmonitor
7.2.2. Konfigurowanie programu Monitor
Program Monitor można skonfigurować zmieniając jego ustawienia w pliku konfiguracyjnym monitor.conf. Edytując ten plik można:
Zdefiniować parametry wykonywania się programu. Zdefiniować tryb raportowania oraz ścieżkę do pliku raportu
zawierającego wyniki działania programu.
Plik konfiguracyjny zawiera dwie sekcje: sekcję można zdefiniować tryb raportowania, oraz sekcję można zdefiniować parametry działania programu.
Podczas przetwarzania i zapisywania pliku na dysk, Monitor zwraca odpowiedni kod wyjścia. Jednakże wiele programów nie przetwarza kodów wyjścia funkcji zamykających plik i kontynuują obsługę zainfekowanych plików. Aby zapobiec takim sytuacjom, zaleca się użycie programu Monitor do obsługi zainfekowanych obiektów.
Report file
Options
, w której
, w której
Aby zdefiniować sposób reakcji monitora na zainfekowane pliki,
należy wpisać jedną z poniższych opcji do linii Wr it eInfe dt edAc tion w sekcji O pt ions:
remove— usuń plik; rename— zmień nazwę pliku przez dodanie łańcucha
.infected
none— zignoruj plik. Jest to domyślna wartość.
do jego rozszerzenia;
69
69
6969
MONITOR
Linia w tej sekcji może wyglądać następująco:
WriteInfedtedAction none
System często tworzy, zapisuje i wykonuje pliki, które na pewno nie zawierają wirusów (na przykład pliki logów oraz pliki w katalogu bin), a ich testowanie tylko zwalnia szybkość działania systemu. Dlatego zalecane jest wyłączyć te pliki z procesu monitorowania.
Aby wykluczyć niektóre pliki z obiektów, które mają być
sprawdzane podczas otwierania, zapisywania lub uruchamiania należy
w sekcji
Options
pliku konfiguracyjnego zdefiniować wartości
następujących linii:
OpenExcludeMask
ścieżka do katalogu z plikami, które mają być ignorowane przy otwieraniu. Można zdefiniować więcej niż jedną ścieżkę, rozdzielając poszczególne wpisy dwukropkami. Na przykład:
OpenExcludeMask /etc:/var/log:/usr/include:/lib:/usr/lib
WriteExcludeMask
ścieżka do katalogu z plikami, które mają być ignorowane przy zapisywaniu. Można zdefiniować więcej niż jedną ścieżkę, rozdzielając poszczególne wpisy dwukropkami. Na przykład:
WriteExcludeMask /etc:/var/log
ExecExcludeMaskścieżka do katalogu z plikami, które mają
być ignorowane przy wykonywaniu. Można zdefiniować więcej niż jedną ścieżkę, rozdzielając poszczególne wpisy dwukropkami. Na przykład:
ExecExcludeMask /usr/bin:/bin:/sbin

Ustawienia te będą także dotyczyć podkatalogów zawartych w katalogach zdefiniowanych w powyższych liniach.
Niektóre pliki, które są otwierane bardzo często, są za każdym razem testowane w poszukiwaniu wirusów. Może to w spowodować istotny spadek komfortu i wydajności pracy użytkownika. Aby rozwiązać ten problem została wprowadzona podręczna pamięć do przechowywania nazw tych plików oraz czasu ich ostatniego sprawdzania. W ten sposób, przed poszukiwaniem wirusów w pliku, Monitor poszukuje dokładniejszych informacji o pliku w pamięci podręcznej. Przyspiesza to proces sprawdzania, choć trzeba pamiętać, że zbyt dużo plików w pamięci
70
70
7070
MONITOR
podręcznej może spowolnić działanie programu (gdy czas potrzebny na testowanie plików jest równy czasowi przeszukiwania pamięci podręcznej).
Aby zdefiniować liczbę plików skanowanych tylko podczas ich
pierwszego otwarcia należy wprowadzić odpowiednią wartość w linii Cache Size sekcji Opti ons. Na przykład:
CacheSize 2500
Wartość ta zależy od wydajności komputera i powinna zawierać się
w przedziale pomiędzy 500 a 5000.
Można zredukować czas testowania plików przez zwiększenie liczby plików przetwarzanych jednocześnie. Aby nie spowalniać wydajności systemu nie należy skanować więcej jak 5 do 15 plików jednocześnie

Aby zdefiniować maksymalną liczbę jednocześnie
skanowanych plików należy:
wpisać wymaganą ich liczbę do linii
MaxConcurrentCheck
. Na
przykład: MaxConcurrentChecks 1 0
Aby włączyć opcję raportowania błędów należy:
wpisać
OK
do linii Warnings sekcji Options.
Aby zdefiniować tryb raportowania działania programu należy:
w sekcji Report file pliku konfiguracyjnego nadać odpowiednie wartości następującym liniom:
LogFileścieżka dostępu do pliku raportu. Na przykład:
LogFile /tmp/KasperskyMonitor.log
Aby program zapisywał w pliku raportu wszystkie rezultaty działania,
należy zdefiniować pełną ścieżkę dostępu do tego pliku. W przeciwnym wypadku Monitor wcale go nie utworzy.
Append
pliku należy wpisać Yes. Aby plik był tworzony na nowo za każdym razem, należy wpisać
— aby nowy raport był dopisywany do już istniejącego
.
No
Przykładowy plik konfiguracyjny programu Monitor znajduje się w
Dodatku B.
71
71
7171
MONITOR
Monitor jest programem klienckim procesu Daemon, dlatego
podczas poszukiwania wirusów oraz usuwania ich Monitor stosuje ustawienia procesu Daemon. Na przykład, jeżeli katalog nie jest uwzględniany podczas testowania przez program Daemon, będzie on ignorowany nawet jeżeli katalog ten nie jest wyłączony ze sprawdzania w programie Monitor.
7.3. Uruchamianie programu Monitor
Jak uruchomić program Monitor?

Aby uruchomić Monitor, należy wykonać następujące kroki:
1. Uruchomić Daemon, na przykład, przez wpisanie następującej
./kavdaemon
linii:
Programu Monitor nie można uruchamiać przed wystartowaniem
procesu demona i załadowaniem antywirusowego modułu jądra.
2. Jeżeli antywirusowy moduł automatycznie przez system operacyjny należy to zrobić ręcznie, na przykład wpisując linię
3. Zredagować plik monitor.conf jeżeli nie zostało to uczynione wcześniej (patrz podrozdział 7.2.2).
4. Uruchomić program Monitor wpisując w linii poleceń ścieżkę dostępu do pliku konfiguracyjnego. Na przykład:
./monitor monitor.conf

Jeżeli podczas uruchamiania program wygeneruje jakiś błąd, zostanie on wpisany do raportu, a program zostanie zamknięty. Szczegóły dotyczące możliwych błędów znajdują się w podrozdziale 7.5
klm on
nie został załadowany
insmod klmon.o
72
72
7272
MONITOR
7.4. Przeglądanie rezultatów działania
Jak przeglądać rezultaty działania programu.?
Podczas testowania otwieranych, zapisywanych czy uruchamianych plików Monitor (jeżeli jest tak skonfigurowany) rejestruje rezultaty swoich działań do pliku raportu.
Nazwa pliku raportu oraz tryb raportowania są zdefiniowane w sekcji Report file pliku konfiguracyjnego monitor.conf.
Pliki raportu mogą być przeglądane w dowolnym edytorze tekstowym.
7.5. Problemy i ich rozwiązywanie
Najczęściej pojawiające się problemy i ich rozwiązania.
Uruchamiając program Monitor można natknąć się na problemy. Poniżej zostaną opisane i omówione sposoby rozwiązania najczęściej występujących problemów.
Jeżeli nie jest możliwe załadowanie antywirusowego modułu
jądra klmon oraz na ekranie pojawia się informacja: unresolved symbol…
należy sprawdzić numer wersji modułu. Wersja modułu musi odpowiadać wersji jądra systemu Linux, w przeciwnym wypadku nie będzie możliwe uruchomienie modułu antywirusowego.
Jeżeli podczas uruchamiania programu Monitor zostanie
wyświetlony na ekranie komunikat: ERROR: Could not open kavmonitor peer file: No such file or directory
należy sprawdzić czy moduł antywirusowy został poprawnie zainstalowany. Po wpisaniu w linii poleceń komendy
73
73
7373
lsmod
, na
MONITOR
ekranie zostanie wyświetlona lista wszystkich załadowanych modułów, wśród których powinien znajdować się także moduł klmon.
Jeżeli podczas uruchamiania programu Monitor zostanie
wyświetlony na ekranie komunikat: ERROR: Could not open kavmonitor peer file: permission denied
znaczy to, że użytkownik nie posiada odpowiednich praw do uruchomienia programu Monitor. Tylko użytkownik root może uruchamiać program Monitor.
Jeżeli wszystkie pliki w raporcie działania programu Monitor są
oznaczone jako UNKNOWN
należy sprawdzić czy program Daemon został poprawnie zainstalowany i uruchomiony. Po wpisaniu w linii poleceń komendy
ps ax
na której powinien znajdować się proces demona.
, na ekranie zostanie wyświetlona lista uruchomionych procesów,

Jeżeli podczas uruchamiania programu Monitor zostanie wyświetlony na ekranie komunikat: "Error opening daemon socket: no such file or directory"
oznacza to, że proces demona nie jest uruchomiony lub używa złego gniazdka. Należy uruchomić demona z podaniem prawidłowego położenia gniazdka.
Jeżeli monitor nie wykrywa wirusów w plikach, które są na
pewno zainfekowane
oznacza to, że pliki nie są zdefiniowane w lokalizacji skanowania przez program Daemon. Aby być w pełni zabezpieczonym, Daemon powinien być skonfigurowany do testowania wszystkich katalogów.

Monitor nie jest w stanie znaleźć wirusa w plikach zapisywanych w
systemie plików NFS. Spowodowane jest to przez niestandardową
procedurę zapisywania plików zastosowaną przez serwer NFS w
jądrze Linux.
Jeżeli pojawia się problem
należy spróbować zdefiniować jego źródło postępując według następujących kroków:
74
74
7474
MONITOR
1. Wpisać w linii poleceń komendę
ps ax
aby sprawdzić, czy
proces demona jest uruchomiony.
2. Wpisać w linii poleceń komendę
lsmod
aby sprawdzić, czy
został załadowany moduł antywirusowy jądra.
3. Spróbować uruchomić program Monitor ze ścieżką do pliku konfiguracyjnego podaną w linii poleceń.
75
75
7575
Rozdzia
ł
8.
8. Slogan: Przetwarzanie i
8.8.
Slogan: Przetwarzanie i
Slogan: Przetwarzanie i Slogan: Przetwarzanie i sumowanie raportów
sumowanie raportów
sumowanie raportówsumowanie raportów
8.1. Możliwości i funkcje
Możliwości i funkcje programu.
Program Slogan został stworzony do przetwarzania danych pochodzących z raportów generowanych przez programy Scanner i Daemon.
Może on spełniać następujące funkcje:
sumowanie rezultatów działania powyższych programów dla
okresu zdefiniowanego przez użytkownika;
monitorowanie bieżących zmian danych w plikach raportów.
76
76
7676
SLOGAN
8.2. Uruchamianie programu Slogan
Uruchamianie programu z linii poleceń.
Aby uruchomić program Slogan, w linii poleceń należy wpisać jego nazwę wraz z odpowiednimi przełącznikami:
./slogan [przełącznik1 ] [przełącznik 2] […] [przełącznik N]
gdzie [przełącznik N] jest opcjonalnym przełącznikiem linii poleceń
programu Slogan
.

Należy pamiętać, by zdefiniować pliki raportów do przetwarzania. W tym celu można użyć przełącznika wiersza poleceń –s (szczegóły poniżej). Jeżeli program będzie uruchomiony bez przełączników w linii poleceń, na ekranie pojawi się lista dostępnych przełączników. Lista ta może zostać wyświetlona za pomocą przełącznika
Uruchamiając program Slogan można wykorzystać następujące przełączniki wiersza poleceń:
-s plik1 plik 2 … plikN
gdzie:
plik1 plik 2 … plikN
przetworzenia przez Slogan;
maska_pliku
przetworzenia przez Slogan.
Podsumowanie stworzone przez Slogan zawiera skumulowane
informacje o wszystkich zdefiniowanych plikach!
jest maską plików raportów przeznaczonych do
–s maska_pliku.
lub
to lista plików raportów przeznaczonych do
–h.
-h
Wyświetla plik pomocy z listą dostępnych przełączników linii poleceń.
-t nazwa_pliku
Opcjonalny plik szablonu używanego do tworzenia przez Slogan raportu sumarycznego.
77
77
7777
SLOGAN
Program zawiera różne pliki szablonów *.tm, które Slogan może użyć podczas sumowania danych raportowych (więcej szczegółów na temat szablonów znajduje się w podrozdziale 14.7 Dodatek B). Domyślnie program generuje raport sumaryczny z użyciem szablonu template.tm (patrz Rysunek 2).
Rysunek 2. Przykładowy raport sumaryczny stworzony przez Slogan
-ds dd.mm.rrrr
Program sumuje raporty wygenerowane od dnia zdefiniowanego przez przełącznik.
78
78
7878
SLOGAN
-de dd.mm.rrrr
Program sumuje raporty wygenerowane do dnia zdefiniowanego przez przełącznik.
-e
Przełącznik umożliwia użycie języka angielskiego w raporcie sumarycznym. Domyślnie do generowania raportów program Slogan używa języka zdefiniowanego przez odpowiednie ustawienia systemu operacyjnego.
-tt nazwa_pliku
Przełącznik włącza tryb monitorowania czasu rzeczywistego (więcej szczegółów znajduje się w podrozdziale 8.3)
8.3. Slogan w trybie monitorowania czasu rzeczywistego
Działanie programu w trybie monitorowania.
Tryb monitorowania w czasie rzeczywistym pozwala na tropienie i badanie zmian w predefiniowanych plikach raportów. Ogólny format linii poleceń programu Slogan dla trybu monitorowania to:
./slogan –s [plik1] […] [plikN] –tt [przełącznik1 ] […] [przełącznikN]
gdzie
:
-tt —
Slogan.
przełącznik włączający tryb monitorowania programu
[plikN] —
monitorowania w czasie rzeczywistym.
opcjonalny plik raportów przeznaczony do
77779999
SLOGAN
[przełącznikN] —
opcjonalny przełącznik linii poleceń
definiujący ustawienia programu Slogan dla trybu
monitorowania.
Uruchamiając program w trybie monitorowania czasu rzeczywistego można użyć następujących przełączników linii poleceń:
-R sec
Ustawia wymagany czas odświeżania ekranu statystyk czasu rzeczywistego programu Slogan. Na przykład, aby ekran był uaktualniany co 30 sekund należy wprowadzić przełącznik -R 30. Domyślnie ekran jest odświeżany co sekundę.
-fast
Pozwala na wyświetlanie tylko końca monitorowanego pliku raportu. Jeżeli nie jest on włączony, będą pokazywane zmiany czasu rzeczywistego w pliku raportu z autoprzewijaniem do miejsca zmiany.
Dopóki całkowita liczba zmian w plikach raportów może być duża,
zaleca się używanie tego przełącznika.
-prev
Włącza funkcję badania przez program wszystkich danych prezentowanych w pliku raportu.
-r
Wyświetla ponownie plik raportu jeżeli był on przez pewien czas niedostępny.
Ekran (patrz Rysunek 3) wyświetlany przez Slogan w trybie monitorowania czasu rzeczywistego jest podzielony na dwa panele:
Główne statystyki przedstawiają następujące podsumowania:
Request — sprawdzone obiekty. Archives — sprawdzone archiwa. Packed — sprawdzone spakowane pliki
wykonywalne.
Corrupted — wykryte uszkodzone obiekty. OK — sprawdzone pliki. I/O Errors — błędy wejścia/wyjścia.
80
80
8080
Infected — wykryte zainfekowanie obiekty. Disinfected — obiekty nie wyleczone. Suspicion — wykryte podejrzane obiekty. Disinfections failed — wykryte obiekty
niemożliwe do odzyskania.
Deleted — obiekty usunięte. Warnings — wykryte zmodyfikowane i zepsute
wirusy.
Koniec monitorowanego pliku raportu.
SLOGAN
Kombinacja klawiszy <C
TRL+C> umożliwia wyjście z trybu monitorowania
czasu rzeczywistego.
Rysunek 3. Slogan w trybie monitorowania czasu rzeczywistego
81
81
8181
9.
ł
9. Tuner: Konfigurowanie
9.9.
Tuner: Konfigurowanie
Tuner: Konfigurowanie Tuner: Konfigurowanie programów Scanner i Daemon
programów Scanner i Daemon
programów Scanner i Daemonprogramów Scanner i Daemon
9.1. Możliwości i funkcje
Rozdzia
Możliwości i funkcje programu.
Tuner jest programem konfiguracyjnym, pozwalającym na tworzenie i edytowanie profili, tj. plików zawierających odpowiedni zestaw predefiniowanych ustawień skanera antywirusowego i procesu demona:
lista obiektów przeznaczonych do skanowania na obecność
wirusów;
sposób przetwarzania zainfekowanych obiektów; użycie zaawansowanych narzędzi skanujących itp.
82
82
8282
TUNER
9.2. Uruchamianie programu Tuner
Uruchamianie programu z linii poleceń. Dostępne przełączniki linii poleceń.
Ogólna postać linii poleceń programu Tuner wygląda następująco:
./kavtuner [przełącznik1] […] [przełącznikN],
gdzie [przełącznik1] jest opcjonalnym przełącznikiem linii poleceń
(patrz poniżej).
Uruchamiając Tuner można użyć następujących przełączników linii poleceń:
-g
Włącza użycie pliku defUnix.prf z katalogu /opt/AVP/ jako profilu.
-ua=nazwa_użytkownika
Włącza (jeżeli nie jest stworzony) użycie pliku defUnix.prf jako domyślnego profilu dla zdefiniowanego użytkownika.
-ud= nazwa_uż ytkownika
Wyłącza użycie pliku defUnix.prf jako domyślnego profilu dla zdefiniowanego użytkownika.
-v
Wyświetla numer wersji programu.
-e
Włącza generowanie przez program raportów, wiadomości tekstowych itp. w języku angielskim.
83
83
8383
TUNER
9.3. Interfejs
Omówienie interfejsu. Funkcje stron.
Podczas uruchamiania programu na ekranie pojawia się jego główne okno, podzielone na dwie następujące części: listwę menu i obszar roboczy.
Na górze okna znajduje się listwa menu zawierająca trzy menu: File, Settings, Help.

Aby wybrać menu należy
nacisnąć przycisk <A nazwie menu.
LT> i przycisk zawierający literę podświetloną w
Jeżeli program Tuner jest uruchamiany przez telnet, aby użyć skrótu
klawiszowego należy dwukrotnie nacisnąć przycisk <E wymagany klawisz skrótu. Kombinacja <A nie będzie działać!
LT+WYMAGANY_KLAWISZ>
Aby poruszać się po menu należy
użyć klawiszy strzałek lub odpowiednich kombinacji klawiszy.
Pod listwą menu znajduje się główne obszar roboczy. Zawiera on sześć zakładek z różnymi nazwami (Location, Options, Report, ActionsWith, Customize i Mail). Po uruchomieniu programu w głównym oknie będzie wyświetlona strona

Aby przełączyć się do następnej strony należy
wybrać jego nazwę w menu Settings lub nacisnąć przycisk <A przycisk zawierający literę podświetloną w nazwie strony.
Location
.
SC> i
LT> i

Aby przełączyć się do następnej strony należy
wybrać polecenie Next Page z menu Settings.

Aby przełączyć się do poprzedniej strony należy
wybrać polecenie Previous Page z menu Settings.
Wybierając opcje na stronie można używać następujących przycisków:
84
84
8484
TUNER
<HOME>— przesunięcie kursora do początku pola tekstowego; <E <S
<F10>—przejście do listwy menu (File, Settings, Help).
ND>— przesunięcie kursora do końca pola tekstowego; PACE>—zaznaczenie/odznaczenie opcji; AB
—przejście do następnego elementu;
<T
>
Aby wyjść z programu konfiguracyjnego należy
wybrać polecenie
LT+X>.
<A
Exit
z menu
lub użyć kombinacji klawiszy
File
9.4. Tworzenie, edytowanie i zapisywanie profilu
Tworzeni, edytowanie i zapisywanie profilu z użyciem programu konfiguracyjnego.
Aby skaner korzystał z wartości zdefiniowanych w obszarze roboczym programu konfiguracyjnego, należy zachować je w profilu

Aby stworzyć nowy profil należy wykonać następujące kroki:
1. Uruchomić Tuner. Na ekranie pojawi się główne okno.
2. Zmienić wymagane ustawienia (więcej szczegółów znajduje się w podrozdziałach 9.5—9.9)
3. Wybrać polecenie Save Profile As… z menu File. Na ekranie pojawi się okno dialogowe Save Profile…
4. Wybrać katalog z listy
5. Wprowadzić nazwę profilu w polu tekstowym Profile
name.
6. Nacisnąć przycisk Save.
Ustawienia będą zapisane do zdefiniowanego pliku .prf.
Files.
85
85
8585
TUNER
Aby anulować zapisywanie ustawień należy nacisnąć przycisk
Cancel.
Aby edytować profil należy wykonać następujące kroki:
1. Uruchomić Tuner. Na ekranie pojawi się główne okno.
Podczas uruchamiania program ładuje domyślny profil (jego nazwa

jest określona w pliku .ini) lub plik zdefiniowany w linii poleceń (patrz podrozdział )
2. Wybrać polecenie Load Profile... z menu File. Na ekranie pojawi się okno dialogowe Load Profile...
3. Na liście Files wybrać katalog z profilem przeznaczonym do edycji.
4. Wybrać profil.
5. Nacisnąć przycisk Open. Ustawienia z tego pliku będą załadowane do głównego okna.
Aby anulować ładowanie ustawień profilu należy nacisnąć przycisk
Cancel
.
6. Zmienić wymagane ustawienia.
7. Zapisać zmiany (jak opisano powyżej).
8. Nacisnąć przycisk Yes w okno dialogowe potwierdzającym.
Zmiany zostaną zapisane do zdefiniowanego pliku .prf.
Aby zapisać ustawienia w domyślnym profilu, którego nazwa
jest zdefiniowana w linii Defau lt Profi le pliku należy,
wybrać polecenie Save Profile as default z menu File.
AvpUnix.ini
86
86
8686
TUNER
9.5. Strona Location
Definiowanie lokalizacji do testowania. Ustawienia dotyczące poszukiwania wirusów definiowane dla oddzielnych katalogów.
9.5.1. Definiowanie lokalizacji przeznaczonej do testowania
Na stronie Location (patrz Rysunek 4) można zdefiniować listę katalogów przeznaczonych do testowania w poszukiwaniu wirusów.
Rysunek 4. Strona
Strona Location odpowiada sekcji
Jeżeli program został uruchomiony bez predefiniowanej lokalizacji

do testowania, na ekranie pojawi się następujący komunikat:
Nothing to scan. You should select at least one directory to
"
scan"
87
87
8787
Location
[Object]
profilu.
TUNER

Aby zdefiniować lokalizację do testowania należy
stworzyć listę katalogów przeznaczonych do sprawdzania na obecność wirusów.
Jest to główna lista katalogów przeznaczonych do testowania.
Katalogi, które powinny być sprawdzane są oznaczone znakiem "+", a katalogi które powinny być pominięte znakiem "-".

Aby edytować pozycje na liście należy
należy nacisnąć klawisz S
PACE lub dwukrotnie kliknąć przyciskiem
myszy. Można wybrać następujące opcje dla każdej pozycji:
pozycja ma być sprawdzana na obecność wirusa (poprzedzona
znakiem "+");
pozycja ma być pominięta przy sprawdzaniu na obecność wirusa
(poprzedzona znakiem "-")
pozycja ma być neutralna (bez prefiksu).
Aby dodać katalog do listy należy wykonać następujące kroki:
1. Nacisnąć przycisk Add folder. Na ekranie pojawi się okno dialogowe Add folder z polem Directory Name, odpowiednią listą rozwijaną, drzewem katalogów i przyciskami OK, Cancel i Revert
2. Wybrać wymagany katalog. Aby to zrobić można podać pełną ścieżkę do katalogu w polu Directory name, wybrać katalog z rozwijanej listy lub znaleźć na liście
tree.
Directory
3. Nacisnąć przycisk OK. Katalog będzie dodany do listy z poprzedzającym go znakiem "+".
Aby usunąć katalog z listy należy
wybrać go używając klawiszy kontrolnych kursora i naciskając klawisz <D
Nie trzeba usuwać katalogu z listy aby pominąć jego skanowanie. Wystarczy użyć klawisza <S "-") co jest to bardzo użyteczne, jeżeli ustawienia zostały zachowane w profilu (patrz podrozdział 9.4).
EL>.
PACE> aby wyłączyć jego przedrostek ("
88
88
8888
+
" lub
TUNER
9.5.2. Definiowanie ustawień
skanowania dla pojedynczego katalogu
9.5.2.1. Okno Property katalogu: wybieranie wymaganego katalogu
Aby zdefiniować ustawienia skanowania dla pojedynczego
katalogu należy wykonać następujące kroki:
1. Za pomocą klawiszy strzałek lub myszki wybrać wymagany
katalog.
Domyślnie program wybiera pierwszy katalog na liście.
2. Nacisnąć przycisk Property. Na ekranie pojawi się okno Property for…. zawierające zakładki Objects, Actions, i Options oraz przyciski Accept, Accept to all, Save
as…
definiowanie następujących ustawień wybranego katalogu:
3. Przyciski znajdujące się na dole okna pozwalają wykonać następujące operacje:
i
Cancel
typy obiektów i plików przeznaczonych do skanowania
(więcej szczegółów znajduje się w podrozdziale 9.5.2.2);
sposób przetwarzania zainfekowanych obiektów (więcej
szczegółów znajduje się z podrozdziale 9.5.2.3);
użycie zaawansowanych narzędzi skanujących (więcej
szczegółów znajduje się z podrozdziale 9.5.2.4).
Accept — zastosowanie zdefiniowanych ustawień dla
wybranego katalogu na stronie Location.
. Opcje w zakładkach pozwalają na
Property for…
Accept to all — zastosowanie zdefiniowanych
ustawień dla lokalizacji przeznaczonej do testowania (dla wszystkich katalogów z listy zdefiniowanej na stronie Location).
89
89
8989
TUNER
Save as… — pozwala na dodanie do lokalizacji
przeznaczonej do testowania ustawień zdefiniowanych dla nowego katalogu. Po naciśnięciu przycisku pojawi się okno Add folder, którego można użyć do dodania wymaganego katalogu do listy na stronie Location (więcej szczegółów na temat dodawania lokalizacji przeznaczonej do testowania patrz podrozdział 9.5.1). Katalog będzie dodany do listy i poprzedzony znakiem "+".
Cancel — opuszczenie okna Property for… bez
zachowywania zmian.
9.5.2.2. Okno Property katalogu: obiekty przeznaczone do testowania
Opcje dostępne w oknie Property strony Objects (patrz Rysunek 5) pozwalają na zdefiniowanie następujących ustawień:
typy obiektów przeznaczonych do testowania w poszukiwaniu
wirusów;
obiekty i katalogi które mają być ignorowane;
typy plików przeznaczonych do testowania w poszukiwaniu
wirusów;
Rysunek 5. Strona
90
90
9090
Objects

Definiowanie obiektów przeznaczonych do skanowania w
wybranym katalogi:
Sectors —włącza poszukiwanie wirusów w sektorach dysku.
TUNER
Files
— włącza poszukiwanie wirusów w plikach. Zaznaczając tą opcję należy wybrać typy plików przeznaczone do testowania. Więcej szczegółów na ten temat znajduje się poniżej.
Packed files — włącza poszukiwanie wirusów w
spakowanych modułach wykonywalnych (więcej szczegółów znajduje się w podrozdziale 5.3.2.4)
Archives — włącza poszukiwanie wirusów w plikach
archiwów (więcej szczegółów znajduje się w podrozdziale
5.3.2.5)
Mechanizmy extracting engine i unpacking engine znacząco
spowalniają proces skanowania wykonywany przez Kaspersky Anti­Virus for Linux. Zaleca się włączenie tych mechanizmów wyłącznie w przypadku dużego prawdopodobieństwa zainfekowania pliku w archiwach i plikach spakowanych.
Mail Databases — włącza poszukiwanie wirusów w
pocztowych bazach danych (więcej szczegółów znajduje się w podrozdziale 5.3.2.6)
Plain Mail formats — włącza poszukiwanie wirusów w
tekstowych formatach pocztowych (więcej szczegółów znajduje się w podrozdziale 5.3.2.6)
Skanowanie pocztowych baz danych a zwłaszcza tekstowych plików
pocztowych znacząco spowalnia proces skanowania wykonywany przez Kaspersky Anti-Virus for Linux. Zaleca się wyłączenie tej opcji przy wykonywaniu regularnego poszukiwania wirusów.

Kaspersky Anti-Virus for Linux nie usuwa wirusów z archiwów, pocztowych baz danych i tekstowych formatów tekstowych.
Embedded — włącza poszukiwanie wirusów w osadzonych
obiektach OLE badanych plików.
91
91
9191
TUNER

Wybranie jednej z poniższych opcji pozwala na zdefiniowanie
typów plików do testowania:
Smart — skanuje programy, tj. wszystkie pliki z rozszerzeniami
.bat, .com, .exe, .ov*, .sys, .bin, .prg, .class, .ini, .vbs, .js, .htm, .dpl, .htt, .hta, .hlp, .pif; a także pliki, których wewnętrzny format odpowiada plikom wykonywalnym DOS (*.com, *.exe and .sys), Windows i OS/2 (.exe, *.dll), Linux (w formacie .elf); pliki w formacie dokumentów i arkuszy Microsoft Office (OLE2 i Access) oraz aplety Java. Wartość ta włącza więc skanowanie wszystkich plików, które mogą zawierać kod wirusa.
Programs
— skanuje wszystkie pliki z rozszerzeniami: .bat, .bin, .cla, .cmd, .com, .cpl, .dll, .doc, .dot, .dpl, .drv, .dwg, .eml, .exe, .fpm, .hlp, .hta, .htm, .htt, .ini, .js, .jse, .lnk, .mbx, .md*, .msg, .msi, .ocx, .otm, .ov*, .php, .pht, .pif, .plg, .pp*, .prg, .rtf, .scr, .shs, .sys, .tsp, .vbe, .vbs, .vxd, .xl*.
All files — skanuje wszystkie pliki każdego typu (wartość ta
odpowiada masce *.*).
User defined — skanuje pliki typów zdefiniowanych przez
użytkownika w polu tekstowym. Definiując więcej niż jeden typ plików należy oddzielać je przecinkami.

Definiowanie plików i/lub katalogów, które mają być ignorowane
podczas testowania:
Exclude files — włącza ignorowanie plików zdefiniowanych
w polu tekstowym. W polu tym należy wprowadzić odpowiednie nazwy plików lub maski. Można także użyć przycisku Add aby wybrać te pliki z drzewa katalogów z okienka Add folder (więcej szczegółów znajduje się w podrozdziale
Ошибка!
Источник ссылки не найден.).
Aby upewnić się, że nie ma wirusów w podanej lokalizacji, zaleca się
testowanie wszystkich plików (opcja All files).
Exclude directories — włącza ignorowanie katalogów
zdefiniowanych w polu tekstowym. W polu tym należy wprowadzić odpowiednie nazwy katalogów. Można także użyć przycisku
Add
aby wybrać te pliki z drzewa katalogów z okienka
Add folder (więcej szczegółów znajduje się w podrozdziale 9.5.1).
92
92
9292
9.5.2.3. Okno Property katalogu: definiowanie akcji antywirusowych
TUNER
Opcje dostępne w oknie pozwalają na zdefiniowanie akcji jakie mają zostać podjęte na zarażonych i podejrzanych obiektach.
Property
strony
Actions
(patrz Rysunek 6)
Aby zdefiniować obsługę zainfekowanych i podejrzanych
obiektów należy wybrać jedną z poniższych opcji:
Report only — wyświetla informacje o zainfekowanych i
podejrzanych obiektach, a jeśli program jest skonfigurowany to zapisuje je do pliku raportu. Program nie będzie leczył ani kasował obiektów.
Display Disinfect Dialog — wyświetla zapytanie o rodzaj
działania na zainfekowanym obiekcie. Program sugeruje wyleczenie obiektu (dla obiektów możliwych do wyleczenia) lub skasowanie go (dla obiektów niemożliwych do wyleczenia).
Disinfect automatically
obiekty bez uprzedniego pytania. W przypadku obiektów, których nie da się wyleczyć sugeruje usunięcie obiektu.
— program leczy zainfekowane
Delete object automatically — program usuwa
zainfekowane obiekty bez uprzedniego pytania.
Rysunek 6. Strona
Actions
93
93
9393
TUNER

Aby zdefiniować obsługę obiektów, których nie da się wyleczyć
należy wybrać jedną z poniższych opcji:
Report only — wyświetla informacje o obiektach
niemożliwych do wyleczenia, a jeśli program jest skonfigurowany to zapisuje je do pliku raportu. Program nie będzie usuwał lub tych obiektów.
Delete object automatically
zainfekowane obiekty bez uprzedniego pytania.
— program usuwa
Aby skonfigurować program by robił kopie zapasowe
zainfekowanych plików przeznaczonych do kasowania lub leczenia należy zaznaczyć opcję:
Backup infected — kopiuje zainfekowane pliki do katalogu
zdefiniowanego w polu Copy to infected folder (patrz podrozdział 9.8).
9.5.2.4. Okno Property katalogu: definiowanie użycie zaawansowanych narzędzi skanowania. Strona Options.
Opcje dostępne w oknie Property strony Options (patrz Rysunek 7) pozwalają na włączenie/wyłączenie zaawansowanych narzędzi skanujących.
Można użyć następujących zaawansowanych narzędzi
skanujących:
Warnings —włącza zaawansowane narzędzie sprawdzające
do poszukiwania uszkodzonych lub zmodyfikowanych wirusów.
Code Analyzer —włącza analizator heurystyczny
poszukujący nieznanych wirusów.
94
94
9494
Rysunek 7. Strona Options
TUNER
Czasami plik może być zainfekowany w „niewłaściwy” sposób, co
sprawia, że jest do odzyskania, ale bez możliwości usunięcia wirusa. W takim wypadku, aby wykryć wirusa należy wykonać dogłębny test (narzędzie skanowania redundancyjnego).
Redundant scan — włącza narzędzie skanowania
redundancyjnego
Scan subdirectories — włącza skanowanie podkatalogów. Cross filesystems — włącza możliwość skanowania
wszystkich dostępnych, dołączonych systemów plików.
9.6. Strona O ptions
Options
OptionsOptions
Opcje dostępne na stronie Options.
Opcje dostępne na stronie Options głównego okna programu Tuner (patrz Rysunek 8) pozwala na definiowanie ustawień skanowania dla całej listy katalogów przeznaczonych do testowania (skumulowana lokalizacja do testowania).
Strona Options odpowiada sekcji [Options] profilu.

95
95
9595
TUNER
Rysunek 8. Strona Options

Aby zdefiniować czy i jak program ma sprawdzać dowiązania
symboliczne, należy wybrać jedną z poniższych opcji:
On the command line
— skanuje tylko dowiązania
symboliczne zdefiniowane w wierszu poleceń.
All symbolic links
— testuje wszystkie dowiązania
symboliczne.
Skip symbolic links — nie testuje dowiązań
symbolicznych.

Można zdefiniować następujące ustawienia:
Scan subdir at end — skanuje podkatalogi na końcu (po
przeskanowaniu innych predefiniowanych obiektów).
Scan removable — poszukuje wirusów na dyskach
wymiennych.
Następujące opcje nie są wyświetlane podczas używania programu
Tuner do zmiany ustawień programu Daemon (tj. kiedy Tuner został uruchomiony z linii poleceń z przełącznikiem –pd)!
Scan … files in parallel – włącza jednoczesne skanowanie
obiektów zdefiniowanych w polach ze słowem Scan.
Use memory files — włącza tworzenie tymczasowych
plików w pamięci (nie na dysku twardym). Jeżeli ta opcja jest zaznaczona należy zdefiniować poniższe ustawienia:
96
96
9696
TUNER
Limit for mem. files — ograniczenie wielkości
tworzonego w pamięci pliku tymczasowego. W polu tekstowym należy podać jego maksymalny rozmiar (w kilobajtach). Domyślną wartością jest 3000 kB i oznacza, że jeżeli rozmiar pliku tymczasowego przekroczy tę wartość, to zostanie on stworzony na twardym dysku.
Mem. files max size — ograniczenie wielkości
plików rozpakowywanych z archiwów zdefiniowane w kilobajtach. Domyślną wartością jest 20000 kB i oznacza, że jeżeli plik rozpakowywany z archiwum przekroczy tę wartość to program skończy rozpakowywanie go do pamięci i rozpocznie generowanie pliku tymczasowego na dysku twardym.
Temp path — w polu tekstowym można zdefiniować ścieżkę
dostępu do katalogu plików tymczasowych. Domyślnym katalogiem tych plików jest
/tmp.

Następujące opcje nie są wyświetlane podczas używania programu Tuner do zmiany ustawień programu Daemon (tj. kiedy Tuner jest został uruchomiony z linii poleceń z przełącznikiem –pd)!
Endlessly scan
– włącza opcję zapętlonego skanowania w
poszukiwaniu wirusów.
Scan delay – określa interwał czasowy pomiędzy dwoma pętlami
(w sekundach). Parametr ten jest używany wyłącznie jeżeli zaznaczona została opcja Endlessly scan.

Jeżeli wartość pola Scan delay wynosi 0, pomiędzy pętlami nie będzie przerwy!
97
97
9797
TUNER
9.7.
9.7. Strona Report
9.7.9.7.
Report
ReportReport
Opcje dostępne na stronie Report.
Opcje dostępne na stronie Report głównego okna programu Tuner (patrz Rysunek 9) pozwala na definiowanie formatu i zawartości raportów programów.
Strona Report odpowiada sekcji [Report] profilu.

Rysunek 9. Strona Report

Na tej stronie można zdefiniować następujące ustawienia
raportowania:
Report file —
pliku logów (raportu) zdefiniowanego w polu tekstowym.
Use syslog — włącza dodawane raportów do logów
systemowych.
Zaznaczona opcja Use syslog automatycznie wyłącza działanie
następujących parametrów: ReportFileLimit ReportFileSize i RepCreateFlag.
Append — nowy raport będzie dodawany do istniejącego pliku
logów.
Extended report
włącza dodawanie wyników sprawdzania do
ReportFileName, Append
— włącza dodawanie do raportu
,
98
98
9898
TUNER
szczegółowych informacji.
Limit sizes of report file, kb — włącza ograniczanie
wielkość pliku logów. W polu tekstowym należy zdefiniować jego maksymalny rozmiar w kilobajtach. Domyślną wartością jest 500 kB.
Use CR — włącza dodatkowo użycie znaku powrotu karetki dla
oddzielnych rekordów w pliku logów. Domyślnie rekordy są oddzielane wyłącznie za pomocą znaku LF, co może utrudnić czytanie raportów w niektórych edytorach tekstu gdyż wszystkie informacje będą wyświetlone w jednej linii.
Report for each object — umożliwia umieszczanie w
raporcie informacji o wszystkich testowanych obiektach.
Use long strings
— zaznaczenie tej opcji wyłącza łamanie
linii podczas wyświetlania raportu.

Następujące opcje nie są wyświetlane podczas używania programu Tuner do zmiany ustawień programu Scanner (tj. kiedy Tuner jest został uruchomiony z linii poleceń z przełącznikiem – ps)!
User repor t — włącza tworzenie raportów działania w pliku
logów użytkownika. W polu tekstowym należy określić pełną nazwę tego pliku. Domyślnie ma on nazwę userreport.log.
Aby zdefiniować atrybuty dostępu tworzonego pliku raportów
należy
w tym polu tekstowym Report create flag określić docelową
maskę atrybutów w tym polu tekstowym. Na przykład wartość 600 przypisuje następujące atrybuty: odczyt przez właściciela i zapis przez właściciela.
Przycisk Showing na stronie Report pozwala na zdefiniowanie opcjonalnych informacji dodawanych do raportu.
Naciśnięcie przycisku
Showing
spowoduje otworzenie odpowiedniego
okna dialogowego (Rysunek 10) podzielonego na dwie następujące części:
Obszar roboczy
z listą opcji definiujących opcjonalne informacje, które mogą zostać zawarte w raporcie działania programów. Domyślnie wszystkie opcje są zaznaczone.
99
99
9999
Loading...