AVZ 5. Руководство пользователя
×
Меню
Индекс

Специализированные ключи

Специализированные ключи не дублируются визуальными элементами настройки и предназначены в основном для системных администраторов. Помимо командной строки данные параметры могут изменяться из скрипта при помощи функции SetupAVZ.
 
Script=<имя скрипта>
Загрузка и выполнение указанного скрипта.
Важно: Данный ключ обрабатывается последним, независимо от его положения в командной строке.
 
Debug=[Y | N]
Включение режима отладки. В этом режиме в протокол записываются различные технические данные, не представляющие ценности для анализа ПК, но позволяющие уточнить место и причины сбоев в работе AVZ.
 
HiddenMode=[0 | 1 | 2 | 3]
Режим запуска графической оболочки AVZ:
0 -  Стандартный режим, окно видимо и доступно пользователю
1 - Окно AVZ невидимо, в трее отображается иконка. Пользователь может развернуть окно нажатием мышью на иконку. Пользователю доступно связанное с иконкой меню, позволяющее остановить и запустить сканирование.
2  - Окно AVZ невидимо, в трее отображается иконка, однако меню иконки заблокировано и пользователь не может развернуть окно AVZ
3 -  Окно AVZ невидимо, иконка в трее не отображается.
Настройка режима работы полезна в случае запуска AVZ для проверки рабочих мест пользователей из logon-скрипта или при помощи автозапуска.
 
Lang=xx
Принудительное переключение локализации на  xx. В настоящее время поддерживаются значения RU для русского языка и EN для английского (соответственно параметр имеет вид lang=ru или lang=en).
 
NewDsk=[Y | N]
Режим запуска в отдельном рабочем столе. Если указан параметр NewDsk=Y, то AVZ создает отдельный рабочий стол с уникальным случайным именем, и запускает свою копию, работающую на этом рабочем столе. Данный режим полезен для борьбы с вымогателями и блокираторами, перекрывающими рабочий стол компьютера своими окнами.
 
DetectMailBomb=[Y | N]
Детектор "почтовых бомб" в системе распаковки архивов. Почтовой бомбой считается файл, размером более 10 Мб со степенью сжатия более 100.
 
Unpack_Archives=[Y | N]
Распаковка проверяемых архивов и составных файлов типа MHT и почты в папку Unpacked в рабочей  папке AVZ. Файлы группируются по типу архива и его имени. У данного параметр есть эквивалентный синоним Extract_Archives.
 
Priority=[-1 | 0 | 1]
Настройка приоритета процесса AVZ. -1 - пониженный приоритет, 0 - стандартный, 1 - повышенный. Пониженный приоритет полезно задавать в случае применения AVZ в качестве средства фонового сканирования.
 
GoodCheckMode=x
Тонкая настройка режима проверки по базе чистых. Параметр x - число, содержащее битовую маску. Значение по умолчанию - 10. Используемые биты (бит (вес)):
0 (1) - не используется
1 (2) - проверять по базе чистых AVZ
2 (4) - не используется
3 (8) - проверять по базе ЭЦП Microsoft
 
SleepScanTime=x
Задержка на x миллисекунд выдается после сканирования каждого файла, применяется для замедления процесса сканирования с целью минимизации нагрузки на диски и процессор, полезно для фоновой проверки папок на сервере. Например, если задать значение 100, то в результате в 1 секунду будет проверяться 10 файлов.
 
ScanAVZFolders=[Y | N]
Разрешает/запрещает сканировать папку AVZ и все уровнями глубже. По умолчанию параметр равен N, т.е. все файлы внутри рабочей папки AVZ не сканируются, что в частности защищает папку Infected от повторной проверки и лечения. Однако это не всегда удобно.
 
NQ=[Y | N]
Сетевой режим карантина. В сетевом режиме карантина в имя папки карантина файла кроме даты включается сетевое имя ПК, это сделано для запуска AVZ из сетевой папки на сервере - в такой ситуации у каждого пользователя получается индивидуальный карантин и папка Infected, а администратор может легко ассоциировать попавшие в карантин файлы с компьютером.
 
EncryptedQR=[Y | N]
Включает режим шифрования копий файлов в архиве. Применяется для минимизации вероятности удаления таких файлов антивиурсом. Важно: созданный в таком режиме карантин может быть проанализирован автором AVZ в случае отправки файлов на анализ, в самом AVZ механизмов расшифровки файлов нет. По этой причине ключ не рекомендован к использованию.
 
QrPWD={пароль}
Задает пароль, используемый при создании архива с карантином. Пароль может быть любым, по умолчанию используется пароль virus.
 
QrOnlyEXE=[Y | N]
Управление фильтром карантина. Если QrOnlyEXE=Y, то в карантин и папку Infected помещаются только исполняемые файлы, контроль ведется по сигнатуре "MZ" в заголовке, в случае отсутствия сигнатуры карантин блокируется.
По умолчанию режим отключен, его включение может быть полезно в случае централизованного запуска AVZ в сети. Фильтр не распространяется на случай использования прямого чтения файла (т.е. когда доступ к файлу заблокирован чем-либо). Действие фильтра распространяется на все системы AVZ (кнопки в диспетчерах, добавление в карантин по списке, автокарантин любого типа, карантин из скриптов)
 
WebServerMode=[Y | N]
Режим запуска на WEB сервере для on-line проверки. Приводит к отключению сканирования памяти, расширенной проверки системы, поиска LSP ошибок, руткитов ...  Назначение ключа - запуск AVZ в максимально облегченном режиме, что полезно при использовании AVZ в качества средства on-line проверки файлов. Особенность в том, что по мере появления новых видов анализа памяти и системы они будут блокироваться данным ключом. Ввиду того, что начиная с версии 4 сигнатурный сканер выполняет второстепенную функцию, данный ключ не имеет особого смысла.
 
AG=[Y | N]
Включение AVZGuard в момент запуска AVZ. Этот ключ допустим только в командной строке, в скриптах он не поддерживается. Обработка ключа AG производится в момент запуска AVZ, до его инициализации и создания рабочих окон.
 
AM=[Y | N]
Включает базовую защиту от троянских программ, посылающих сообщения окнам с характерными заголовками. Задание AM=Y приводит к удалению текста из заголовка главного окна AVZ, удаляет смысловое имя приложения. В данном режиме окно AVZ не подчиняется команде закрытия, выйти из AVZ можно только через меню "Файл\Выход" или по команде скрипта. Поддерживается в AVZ начиная с версии 4.32
 
MiniLog=[Y | N]
Включение режима сокращенного протоколирования. В этом режиме в протокол выводится только значимая информация (предупреждения, подозрения, данные о ошибках, текстовый вывод скриптов), вывод остальной информации подавляется (в частности, не выводится информация о загруженных базах, шапки с копирайтами, технические данные антируткита и т.п.). Режим полезен для сисадминов, применяющих AVZ для проверки ПК в автоматическом режиме - сокращенный протокол гораздо меньше по размеру и его проще анализировать вручную или автоматически.
 
ExtUpdates=[Y | N]
Включение режима расширенного обновления, для создания "зеркала" обновления баз AVZ на WEB серверах.
В обычном случае  AVZ загружает только обновленные файлы базы, обновленную базу можно вручную скопировать в любой другой каталог. Но если открыть доступ к папке BASE по FTP или HTTP, то AVZ не сможет обновляться из нее, так как в папке BASE отсутствует описание состава баз avzupd.zip, применяемое для инкрементного обновления.
Задание ключа ExtUpdates=Y приводит к тому, что в процессе обновления данный файл будет скопирован в папку BASE, и ее можно использовать в качестве источника обновления, открыв доступ к папке через HTTP или FTP.
 
SpoolLog=<имя файла>
Дублирование протокола в указанный текстовый файл. Текстовый файл создается при его отсутствии и дополняется в случае наличия. Запись ведется без кеширования, открытие/закрытие файла производится в ходе записи каждой строки - это позволяет применять подобный протокол для диагностики ошибок в случае аварийного завершения AVZ. Если полный путь к файлу не указан, то он создается относительно каталога AVZ
 
QuarantineBaseFolder=<имя папки>
Задает базовый каталог для папок Quarantine и Infected. По умолчанию данные папки расположены  в рабочем каталоге AVZ.
Данная опция полезна в случае запуска AVZ с BootCD или иного ReadOnly носителя, например из сетевой папки.
 
TempFolder=<имя папки>
Задает каталог для временных файлов. Если каталог с указанным именем не существует, то он автоматически создается. Данная опция позволяет переместить каталог с временными файлами AVZ в папку, проверка которой запрещена в настройках используемого антивирусного монитора. Кроме того, при помощи данного ключа можно переместить папку для временных файлов на виртуальный диск, что приведет к повышению скорости проверки архивов. Параметр влияет на функцию скриптов GetTempDirectoryPath
 
Параметры, поддерживаемые начиная с  версии 4.37
 
AutoFixSysProblems=[Y | N]
Включает автоматическое исправление системных проблем, найденных в ходе проверки (по умолчанию выключено, сведения о найденных проблемах вносятся в протокол).
 
XMLBase64Mode=[Y | N]
Управляет представление текстовых данных в XML. Если XMLBase64Mode=Y, то все текстовые значения кодируются в BASE64, что полностью исключает проблемы с символами, недопустимыми в XML. Параметр Base64Mode в корневом теге XML отчета показывает, в каком режиме он сформирован.
 
SHA1=[Y | N]
В ходе исследования системы производится вычисление SHA1 сумм всех файлов. По умолчанию отключено и считается только MD5, включение замедляет процесс исследования примерно в 1.5-2 раза. Вычисленные SHA1 записываются в XML протокол.
 
SignCheck=[Y | N]
В ходе исследования системы производится проверка цифровой подписи всех файлов. В случае обнаружения подписи результат проверки выводится в протокол. По умолчанию отключено, так как проверка подписей замедляет процесс исследования примерно в 2-3 раза.
 
Параметры, поддерживаемые начиная с  версии 4.41
 
SaveIPToLog=[Y | N]
Управляет записью IP адреса ПК в XML протокол.
По умолчанию выключено, полезно для использования AVZ в корпоративной сети.
 
X64R=XX - управляет редиректорами 64-разрядной операционной системы, предназначен в основном для использования в скриптах.
Первый символ в значении параметра управляет выключением редиректора реестра: Y-редиректор реестра включен (AVZ "видит" ключи x32 приложений), N - выключен (видны ключи x64 приложений). Второй символ по аналогии управляет файловым редиректором. X64R=NN - редиректоры выключены, X64R=YY - редиректоры включены (состояние по умолчанию).
Начиная с версии 4.45 кроме значений N и Y поддерживается значение X, которое рассматривается как "не изменять текущее состояние настройки редиректора". Например:
X64R=XN - состояние редиректора реестра не меняется, а редиректор файловой системы отключается
X64R=NX - состояние редиректора реестра меняется на "выключен", а состояние редиректора файловой системы не изменяется
 
Параметры, поддерживаемые начиная с  версии 5.00
 
LogEncoding=[ANSI | UTF8 | UNICODE|UTF16] - управляет кодировкой, в котором сохраняется текстовый протокол AVZ. Влияет как на команды SaveLog, SaveCSVLog и AddLineToTxtFile скрипта, так и на сохранение протокола вручную, через меню или при помощи кнопки на панели управления справа от протокола. Протоколы в любом случае пишутся в формате Unicode, поэтому настройка параметра может выполняться непосредственно перед вызовом необходимой функции.
В случае необходимости поддерживать совместимость с версией 4.xx следует задать LogEncoding=ANSI.
 
UnicodeDef=[Y | N]
Более глобальный параметр, чем  LogEncoding. Указание UnicodeDef=Y приведет к следующему результату:
 
TxtLogFormat=[0 | 1 | 2]
Режим вставки текстового протокола в общий HTML отчет с результатами исследования системы. Возможны варианты
0 - классический режим вставки, текстовый протокол вставляется в теге PRE, т.е. рассматривается текстовая вставка моноширинным шрифтом.
1 - аналог режима 0, но к тегу применяется настройка, предписывающая выполнять переносы длинных строк.
2 - протоков вставляется в поле ограниченной высоты с прокруткой по горизонтали и вертикали. Режим удобен для работы с большими протоколами
 
AutoResetACL=[Y | N]
Управляет режимом сброса прав доступа при удалении объектов под управлением скрипта. По умолчанию включен, и перед удалением объекта делает попытка автоматически сбросить права доступа на него, выставив права "все можно всем", что повышает вероятность успешно удаления. Применяется в частности: