Специализированные ключи

Специализированные ключи

Previous pageReturn to chapter overviewNext page

Специализированные ключи не дублируются визуальными элементами настройки и предназначены в основном для системных администраторов. Помимо командной строки параметры могут применяться в функции SetupAVZ скрипт

 

Script=<имя скрипта> - загрузка и выполнение указанного скрипта. Данный ключ обрабатывается последним, независимо от его положения в командной строке

 

HiddenMode=[0|1|2|3] - режим запуска графической оболочки AVZ:

0 -  Стандартный режим, окно видимо и доступно пользователю

1 - Окно AVZ невидимо, в трее отображается иконка. Пользователь может развернуть окно нажатием мышью на иконку. Пользователю доступно связанное с иконкой меню, позволяющее остановить и запустить сканирование.

2  - Окно AVZ невидимо, в трее отображается иконка, однако меню иконки заблокировано и пользователь не может развернуть окно AVZ

3 -  Окно AVZ невидимо, иконка в трее не отображается.

Настройка режима работы полезна в случае запуска AVZ для проверки рабочих мест пользователей из logon-скрипта или при помощи автозапуска.

 

Lang=xx - принудительное переключение локализации на  xx. В настоящее время поддерживаются значения RU для русского языка и EN для английского (соответственно параметр имеет вид lang=ru или lang=en).

 

NewDsk=[Y|N] - режим запуска в отдельном рабочем столе. Если указан параметр NewDsk=Y, то avz создает отдельный рабочий стол с уникальным случайным именем, и запускает свою копию, работающую на этом рабочем столе. Данный режим полезен для борьбы с вымогателями и блокираторами, перекрывающими рабочий стол компьютера своими окнами.

 

DetectMailBomb=[Y|N] - детектор "почтовых бомб" в системе распаковки архивов. Почтовой бомбой считается файл, размером более 10 Мб со степенью сжатия более 100.

 

Unpack_Archives=[Y|N] -  распаковка проверяемых архивов и составных файлов типа MHT и почты в папку Unpacked в рабочей  папке AVZ. Файлы группируются по типу архива и его имени.

 

Priority=[-1|0|1] - настройка приоритета процесса AVZ. -1 - пониженный приоритет, 0 - стандартный, 1 - повышенный. Пониженный приоритет полезно задавать в случае применения AVZ в качестве средства фонового сканирования.

 

SleepScanTime=N, где N - время в миллисекундах. Задержка не заданное кол-во миллисекунд выдается после сканирования каждого файла, применяется для замедления процесса сканирования с целью минимизации нагрузки на диски и процессор, полезно для фоновой проверки папок на сервере. Например, если задать значение 100, то в результат в 1 секунду будет проверяться 10 файлов.

 

ScanAVZFolders=[Y|N] разрешает/запрещает сканировать папку AVZ и все уровнями глубже. По умолчанию параметр равен N, т.е. все файлы внутри рабочей папки AVZ не сканируются, что в частности защищает папку Infected от повторной проверки и лечения. Однако это не всегда удобно.

 

NQ=[Y|N] - сетевой режим карантина. В сетевом режиме карантина в имя папки карантина файла кроме даты включается сетевое имя ПК, это сделано для запуска AVZ из сетевой папки на сервере - в такой ситуации у каждого пользователя получается индивидуальный карантин и папка Infected, а администратор может легко ассоциировать попавшие в карантин файлы с компьютером.

 

QrPWD=пароль задает пароль, используемый при создании архива с карантином, отличный от используемого по умолчанию пароля virus.

 

QrOnlyEXE=[Y|N] - управление фильтром карантина. Если QrOnlyEXE=Y, то в карантин и папку Infected помещаются только исполняемые файлы - контроль по сигнатуре MZ в заголовке, в случае отсутствия сигнатуры карантин блокируется.  По умолчанию режим отключен, его включение может быть полезно в случае централизованного запуска AVZ в сети. Фильтр не распространяется на случай использования прямого чтения файла (т.е. когда доступ к файлу заблокирован чем-либо). Действие фильтра распространяется на все системы AVZ (кнопки в диспетчерах, добавление в карантин по списке, автокарантин любого типа, карантин из скриптов)

 

WebServerMode=[Y|N] - режим запуска на WEB сервере для on-line проверки. Приводит к отключению сканирования памяти, расширенной проверки системы, поиска LSP ошибок, руткитов ...  Назначение ключа - запуск AVZ в максимально облегченном режиме, что полезно при использовании AVZ в качества средства on-line проверки файлов. Особенность в том, что по мере появления новых видов анализа памяти и системы они будут блокироваться данным ключом.

 

AG=[Y|N] - включение AVZGuard в момент запуска AVZ. Этот ключ допустим только во командной строке, в скриптах он не поддерживается. Обработка ключа AG производится в момент запуска AVZ, до его инициализации и создания рабочих окон.

 

AM=[Y|N] - включает базовую защиту от троянских программ, посылающих сообщения окнам с характерными заголовками. Задание AM=Y приводит к удалению текста из заголовка главного окна AVZ, удаляет смысловое имя приложения. В данном режиме окно AVZ не подчиняется команде закрытия, выйти из AVZ можно только через меню "Файл\Выход" или по команде скрипта. Поддерживается в AVZ начиная с версии 4.32

 

MiniLog=[Y|N] - включение режима сокращенного протоколирования. В этом режиме в протокол выводится только значимая информация (предупреждения, подозрения, данные о ошибках, текстовый вывод скриптов), вывод остальной информации подавляется (в частности, не выводится информация о загруженных базах, шапки с копирайтами, технические данные антируткита и т.п.). Режим полезен для сисадминов, применяющих AVZ для проверки ПК в автоматическом режиме - сокращенный протокол гораздо меньше по размеру и его проще анализировать вручную или автоматически.

 

ExtUpdates=[Y|N] - включение режима расширенного обновления, для обновления баз на WEB серверах. В обычном случае  AVZ загружает базы и обновленную базу можно вручную скопировать в любой другой каталог, но если открыть доступ к папке BASE по FTP или HTTP, то AVZ не сможет обновляться из нее, так как в папке BASE отсутствует описание состава баз avzupd.zip, применяемое для инкрементного обновления. Задание ключа ExtUpdates=Y приводит к тому, что в процессе обновления данный файл будет скопирован в папку BASE, и ее можно использовать в качестве источника обновления, открыв доступ к папке через HTTP или FTP.

 

SpoolLog=<имя файла> - Дублирование протокола в указанный текстовый файл. Текстовый файл создается при его отсутствии и дополняется в случае наличия. Запись ведется без кеширования, открытие/закрытие файла производится в ходе записи каждой строки - это позволяет применять подобный протокол для диагностики ошибок в случае аварийного завершения AVZ. Если полный путь к файлу не указан, то он создается относительно каталога AVZ

 

QuarantineBaseFolder=<имя папки> - задает базовый каталог для папок Quarantine и Infected. По умолчанию данные папки расположены  в рабочем каталоге AVZ. Данная опция полезна в случае запуска AVZ с BootCD или иного ReadOnly носителя, например из сетевой папки.

 

TempFolder=<имя папки> - Задает каталог для временных файлов. Если каталог с указанным именем не существует, то он автоматически создается. Данная опция позволяет переместить каталог с временными файлами AVZ в папку, проверка которой запрещена в настройках используемого антивирусного монитора. Кроме того, при помощи данного ключа можно переместить папку для временных файлов на виртуальный диск, что приведет к повышению скорости проверки архивов. Параметр влияет на функцию скриптов GetTempDirectoryPath

 

AutoFixSysProblems=[Y|N] - Включает автоматическое исправление системных проблем, найденных в ходе проверки (по умолчанию выключено, сведения о найденных проблемах вносятся в протокол). Поддерживается в AVZ начиная с версии 4.37

 

 

Параметры, поддерживаемые начиная с  версии 4.37

 

XMLBase64Mode=[Y|N] - управляет представление текстовых данных в XML. Если XMLBase64Mode=Y, то все текстовые значения кодируются в BASE64, что полностью исключает проблемы с символами, недопустимыми в XML. Параметр Base64Mode в корневом теге XML файла показывает, в каком режиме он сгенерирован

 

SHA1=[Y|N] В ходе исследования системы производится вычисление SHA1 сумм всех файлов. По умолчанию отключено и считается только MD5, включение замедляет процесс исследования примерно в 1.5 раза. Вычисленные SHA1 записываются в XML протокол.

 

SignCheck=[Y|N] В ходе исследования системы производится проверка цифровой подписи всех файлов. В случае обнаружения подписи результат проверки выводится в протокол. По умолчанию отключено, так как проверка подписей замедляет процесс исследования примерно в 2-3 раза

 

Параметры, поддерживаемые начиная с  версии 4.41

 

SaveIPToLog=[Y|N] - управляет записью IP адреса в XML протокол. По умолчанию выключено, полезно для использования AVZ в корпоративной сети

 

X64R=XX - управляет редиректорами 64-разрядной операционной системы , предназначен для использования в скриптах. Первый символ в значении параметра управляет выключением редиректора реестра, Y-редиректор реестра включен (AVZ видит ключи x32 приложений), N - выключен (видны ключи x64 приложений). Второй символ по аналогии управляет файловым редиректором. X64R=NN - редиректоры выключены, X64R=YY - редиректоры включены (состояние по умолчанию).

Начиная с версии 4.45 кроме значений N и Y поддерживается значение X, которое рассматривается как "не изменять текущее состояние настройки редиректора". Например:

X64R=XN - состояние редиректора реестра не меняется, а редиректор файловой системы отключается

X64R=NX - состояние редиректора реестра меняется на "выключен", а состояние редиректора файловой системы не изменяется