94 ответов в этой теме

[dbanschikov]

To Danil Biruykov-Romanov



По вопросу полной автоматизации сканирования - напишите, пожалуйста, запрос в службу технической поддержки.



 
Спасибо. Плавали.Знаем.
Лучше я пешком постою.

Знаете анекдот про еврея, который хотел в лотерею выиграть?

В 10 версии есть компонент drweb-clamd, который предоставляет IPC Clamd. Пробовали ли использовать его? Если он не подходит вам, то по каким причинам?
В 11 версии есть компонент drweb-httpd, вместе с которым идет drweb-httpd-linkchecker. LinkChecker использует HTTP API drweb-httpd.
Можно вдохновиться примером использования и сделать по своему вкусу.

[Alexls]

to

dbanschikov

Как я уже сказал есть ограничения именно на 10 -ю версию

На drweb-clamd посмотрю. Спасибо

[Alexls]

К вопросу о падении сканирующего модуля.

 

Упавшая ветка перезапускается!

Но не выдается никакого сообщения.

Таким образом совершенно неясно что происходит

проверяемый файл брошен и осуществлен переход на следующий (т.е. угроза, если она была, пропущена)

или началась циклическая проверка одного файла

 

К сожалению смоделировать ситуацию моими средствами невозможно.

 

И вопросы -

1 есть ли возможность запуска только одной ветки сканирования (а не 4)

2. есть ли возможность блокирования перезапуска упавшей ветки

Сообщение было изменено Alexls: 09 Апрель 2016 - 11:59

[Alexls]

Дополнительно

1. Сообщение таки появляется

2. В rawscan режиме пропала статистика. Можно ли вернуть.

[dbanschikov]

К вопросу о падении сканирующего модуля.
 
Упавшая ветка перезапускается!
Но не выдается никакого сообщения.
Таким образом совершенно неясно что происходит
проверяемый файл брошен и осуществлен переход на следующий (т.е. угроза, если она была, пропущена)
или началась циклическая проверка одного файла
 
К сожалению смоделировать ситуацию моими средствами невозможно.
 
И вопросы -
1 есть ли возможность запуска только одной ветки сканирования (а не 4)
2. есть ли возможность блокирования перезапуска упавшей ветки

Для начала давайте синхронизируем терминологию.
Что в вашем понимании есть ветка?

Во-вторых, можете ли вы привести последовательность shell команд для воспроизведения вашей проблемы?

И в третьих, если под веткой сканирования(удивительно, но если я вас правильно понял, то по-русски это звучит как
fork сканирования) вы понимаете child SE, то конечно можно. Посмотрите на drweb-ctl cfshow ScanEngine. Не помню на вскидку
как называется параметр, но что-то вроде MaxChilds. Его дефолтное значение вычисляется автоматически, можете поставить
любое необходимое вам.
Покажите лог вашей проблемы с -d у команды сканирования(e.g. drweb-ctl scan -d /usr/bin).

Сообщение было изменено dbanschikov: 09 Апрель 2016 - 19:16

[dbanschikov]

Дополнительно
1. Сообщение таки появляется
2. В rawscan режиме пропала статистика. Можно ли вернуть.

rawscan - это сканирование с персонально поднятым для вас drweb-se.
Сомневаюсь что во-первых что это то, что вам нужно. А во вторых, расскажите про какую именно статистику вы говорите. А то
приходится клещами тянуть из вас ваши же проблемы. Будьте смелее, покажите прямо STDOUT, STDERR консоли, что вы ожидаете и
что получаете взамен.

BTW, возможно вам будет интересно посмотреть на режим сканирования flowscan и самостоятельном разборе его вывода.
Обратите внимание на ключ -d при drweb-ctl flowscan.

BTW, в который раз настойчиво рекомендую вам посмотреть на BETA 11 версии. Даже если вы в силу каких-то причин не можете
использовать грядущую свежую версию, то как минимум вы можете сообщить о том, чем она вас не устраивает, чтобы, скажем в
условном 11.1, эти пожелания возможно были учтены.

Сообщение было изменено dbanschikov: 09 Апрель 2016 - 19:16

[Alexls]

To dbanschikov

1. Проблем уже никаких нет. rawscan практически полностью устраивает.

2. По поводу количества child в документации написано что если указанный параметр меньше 4,  то он игнорируется и принимается значение 4.

3. режим flowscan посмотрю, но через неделю. Командировка

4. Под статистикой я понимаю заключительный вывод типа

 

Scanned objects: 1, scan errors: 0, threats found: 1, threats neutralized: 0.
Scanned 0.51 KB in 0.04 s with speed 14.56 KB/s.

 

В режиме rawscan это исчезло.

Если нет возможности получить полное количество проверенных файлов (с учетом находящихся в архивах) то хотя бы иметь количество проверенных объектов.

Хотя согласитесь отчет (в моем софте)  вида

 

Проверено 10 файлов. Обнаружено 30 вирусов.

 

Будет выглядеть весьма странно.

 

5. 11 версию посмотрю но уже через неделю.

[Dimasss_TW]

2. По поводу количества child в документации написано что если указанный параметр меньше 4,  то он игнорируется и принимается значение 4.

Замечу, что это относится к значению по умолчанию для данного параметра, но это не означает, что его нельзя руками задать меньше 4.

Сообщение было изменено Dimasss_TW: 11 Апрель 2016 - 19:17

[Alexls]

to

dbanschikov

К сожалению в режиме flowscan вывод вообще отсутствует.

Опция -d добавляет несколько строк и все

[dbanschikov]

to

dbanschikov

К сожалению в режиме flowscan вывод вообще отсутствует.

Опция -d добавляет несколько строк и все

 

В одном терминале:

drweb-ctl threats -f

В другом

drweb-ctl flowscan /path/to/threat

Получите что-то вроде:

ID: 2
Path: /home/dbanschikov/wrk/eicar/eicar.com2
Threat: EICAR Test File (NOT a Virus!) (Known virus)
File info: size = 68 bytes, owner = dbanschikov:dbanschikov, last modified = 2016-Apr-13 14:05:53
History: 2016-Apr-19 13:59:24; FOUND by Ctl (pid 4715)

Откуда awk'ом, sed'ом или упаси господи python'ом можно выдрать информацию об угрозе.

[Alexls]

to dbanschikov

К сожалению, общего количества проверенных файлов (с учетом архивов) так и нет.

[dbanschikov]

to dbanschikov

К сожалению, общего количества проверенных файлов (с учетом архивов) так и нет.

 

 

Самый полный доступ к API который можно вам предложить - 11.0 и API HTTPD.

Полнее не будет.

[Alexls]

to dbanschikov

До кучи

Статистика сканирования не показывает количество угроз внутри архива.

То есть - если сканируется архив со 100000 файлов с вирусами в окончательной статистике будет только одна угроза

[dbanschikov]

to dbanschikov
До кучи
Статистика сканирования не показывает количество угроз внутри архива.
То есть - если сканируется архив со 100000 файлов с вирусами в окончательной статистике будет только одна угроза

 

 

$ drweb-ctl scan ~/wrk/eicar/multi.zip 
/home/dbanschikov/wrk/eicar/multi.zip//eicar.com3 - infected with EICAR Test File (NOT a Virus!)
/home/dbanschikov/wrk/eicar/multi.zip//eicar.com4 - infected with EICAR Test File (NOT a Virus!)
Scanned objects: 1, scan errors: 0, threats found: 1, threats neutralized: 0.

ID: 3 Path: /home/dbanschikov/wrk/eicar/multi.zip Threat: EICAR Test File (NOT a Virus!) ... (infected archive with 2 threats) File info: size = 454 bytes, owner = dbanschikov:dbanschikov, last modified = 2015-Mar-18 18:47:20 History: 2016-Apr-21 11:12:51; FOUND by Ctl (pid 21948)

 

Две заразы внутри архива - в статистике запись о двух заразах.
Покажите пример того, что у вас не работает.

Сообщение было изменено dbanschikov: 21 Апрель 2016 - 11:17

[Alexls]

drweb-ctl scan /0002

 

/0002/3732.zip//VG-E610.COM - infected with Vengence.639
/0002/3732.zip//VG-D.COM - infected with Vengence.390
/0002/3732.zip//VG-C.COM - infected with Vengence.390
/0002/3732.zip//VG-B.COM - infected with Vengence.252
/0002/3732.zip//VG-A.COM - infected with modification of Trivial.based

 

Scanned objects: 1, scan errors: 3, threats found: 1, threats neutralized: 0.
Scanned 4404.30 KB in 0.17 s with speed 25458.36 KB/s.
 

[Alexls]

ScanEngine 10.0.0.0.1409222330
Core engine 7.00.10.08210 (700) API 2.2, shell API 2.2

[dbanschikov]

drweb-ctl scan /0002

 

/0002/3732.zip//VG-E610.COM - infected with Vengence.639
/0002/3732.zip//VG-D.COM - infected with Vengence.390
/0002/3732.zip//VG-C.COM - infected with Vengence.390
/0002/3732.zip//VG-B.COM - infected with Vengence.252
/0002/3732.zip//VG-A.COM - infected with modification of Trivial.based

 

Scanned objects: 1, scan errors: 3, threats found: 1, threats neutralized: 0.
Scanned 4404.30 KB in 0.17 s with speed 25458.36 KB/s.
 

 

Забыли вывод drweb-ctl threats соответствующий этой угрозе показать.

[Alexls]

to

dbanschikov

Да во threats есть информация

 

ID: 123
Path: /0002/3732.zip
Threat: VirusConstructor.based ... (infected archive with 3679 threats)
File info: size = 4510000 bytes, owner = root:root, last modified = 2005-Aug-23 01:19:38
History: 2016-Apr-20 23:46:34; FOUND by Ctl (pid 4469)

 

Не совсем понятен смысл информации которую нужно вылавливать отдельно.

 

[dbanschikov]

to

dbanschikov

Да во threats есть информация

 

ID: 123
Path: /0002/3732.zip
Threat: VirusConstructor.based ... (infected archive with 3679 threats)
File info: size = 4510000 bytes, owner = root:root, last modified = 2005-Aug-23 01:19:38
History: 2016-Apr-20 23:46:34; FOUND by Ctl (pid 4469)

 

Не совсем понятен смысл информации которую нужно вылавливать отдельно.

 

Мухи отдельно, котлеты отдельно.

 

Вывод drweb-ctl scan показывает общую статистику по сканированию.

Вывод drweb-ctl threats показывает подробную статистику по отдельным угрозам.

[Alexls]

To dbanschikov

Вывод drweb-ctl scan показывает общую статистику по сканированию.

Вывод drweb-ctl threats показывает подробную статистику по отдельным угрозам.

 

К сожалению все не так

 

В статистике имеем одну угроза на 3679 действительных угроз. И где тут общая статистика по сканированию?

Во threads - одна запись на 3679 угроз. И где тут подробная статистика по отдельным угрозам?.

Сообщение было изменено Alexls: 21 Апрель 2016 - 12:10