Kaspersky Standard | Plus | Premium
Linux
Русский

Содержание

Как настроить поиск вредоносного ПО

Поиск вредоносного ПО – это однократная полная или выборочная проверка файлов на устройстве по требованию. Приложение Kaspersky может выполнять несколько задач поиска вредоносного ПО одновременно.

В приложении создается предустановленная задача Поиск вредоносного ПО (Scan_My_Computer). Вы можете использовать эту задачу для выполнения полной проверки устройства. При полной проверке приложение проверяет все объекты, расположенные на локальных дисках устройства, а также все смонтированные и общие объекты, доступ к которым предоставляется по протоколам Samba и NFS, с рекомендуемыми параметрами безопасности.

Во время полной проверки диска процессор будет занят. Рекомендуется запускать задачу полной проверки в нерабочее время.

Вы можете настраивать параметры автоматически созданных задач в командной строке, а также создавать пользовательские задачи поиска вредоносного ПО.

При обнаружении вредоносного ПО приложение Kaspersky может удалять зараженный файл и завершать вредоносный процесс, запущенный из этого файла.

Если во время поиска вредоносного ПО приложение было перезапущено контрольной службой или вручную пользователем, выполнение задачи прерывается. В журнале приложения сохраняется событие OnDemandTaskInterrupted.

Изменяя параметры задач поиска вредоносного ПО, вы можете:

  • Выбирать объекты операционной системы, которые нужно проверять: файлы, папки, архивы, загрузочные секторы, память процессов и память ядра, объекты автозапуска.
  • Ограничивать размер проверяемого объекта и продолжительность проверки объекта.
  • Выбирать действия, которые приложение будет выполнять над зараженными объектами.
  • Настраивать исключения объектов из проверки:
    • по именам или маскам;
    • по названиям обнаруженных в объектах угроз.
  • Включать и выключать использование глобальных исключений и исключений Защиты от файловых угроз при проверке.
  • Включать и выключать запись в журнал информации о проверенных незараженных объектах, о проверке объектов в составе архивов и о необработанных объектах.
  • Настраивать использование эвристического анализатора и технологии iChecker во время проверки.
  • Ограничивать набор устройств, загрузочные секторы которых нужно проверять.
  • Настраивать области проверки и области исключения из проверки.
  • Настраивать расписание запуска задач поиска вредоносного ПО.

В командной строке вы можете выполнять проверку на наличие вредоносного ПО следующими способами:

В командной строке вы можете просматривать информацию об обнаруженных угрозах, а также проверять текущее состояние задачи.

В интерфейсе приложения вы можете выполнять проверку на наличие вредоносного ПО следующими способами:

Интерфейс приложения также позволяет выполнять следующие действия:

  • Наблюдать за ходом выполнения задачи Поиск вредоносного ПО.
  • Просматривать всплывающие уведомления о статусе задачи Поиск вредоносного ПО, из которых вы можете по ссылке Открыть отчеты переходить к отчетам о работе компонентов приложения и результатах выполнения задач проверки.
  • Просматривать отчет с результатом выполнения задачи Поиск вредоносного ПО.

    Результат выполнения задачи Поиск вредоносного ПО отображается в отчете в разделе Задачи проверки.

В этом разделе справки

Параметры предустановленной задачи Поиск вредоносного ПО

Как выборочно проверить файлы и директории в командной строке

Как выборочно проверить файлы и директории в интерфейсе приложения
В начало
[Topic 283337]

Параметры предустановленной задачи Поиск вредоносного ПО

Задача Поиск вредоносного ПО по умолчанию не запущена. Вы можете запускать и останавливать задачу в любое время. Вы также можете изменять параметры задачи.

Изменять параметры задач нужно до их запуска.

Идентификатор предустановленной задачи Поиск вредоносного ПО: 2. Имя предустановленной задачи Поиск вредоносного ПО: Scan_My_Computer. Идентификатор или имя пользовательской задачи поиска вредоносного ПО вам нужно задать самостоятельно.

Чтобы изменить значения параметров расписания запуска задачи с помощью конфигурационного файла:

  1. Выведите параметры задачи в конфигурационный файл с помощью команды kfl-control --get-schedule.
  2. Измените в конфигурационном файле значения нужных параметров расписания и сохраните изменения.
  3. Выполните команду:

    kfl-control --set-schedule <идентификатор/имя задачи> --file <путь к конфигурационному файлу> [--json]

Все значения параметров расписания запуска задачи, заданные в файле, будут импортированы в приложение.

Чтобы изменить отдельные значения параметров расписания запуска задачи с помощью командной строки, выполните следующую команду:

kfl-control --set-schedule <идентификатор/имя задачи> <имя параметра>=<значение параметра> [<имя параметра>=<значение параметра>]

Значения указанных параметров расписания запуска задачи будут изменены.

Чтобы запустить предустановленную задачу Поиск вредоносного ПО в командной строке, включить вывод текущих событий, связанных с этой задачей, и отображать ход выполнения задачи, выполните следующую команду:

kfl-control --start-task 2 [-W] [--progress]

Чтобы создать и запустить пользовательскую задачу Поиск вредоносного ПО в командной строке, включить вывод текущих событий, связанных с этой задачей, и отображать ход выполнения задачи, выполните последовательно следующие команды:

  1. kfl-control --create-task <идентификатор/имя задачи> --type <Rollback>
  2. kfl-control --start-task <идентификатор/имя задачи> [-W] [--progress]

Чтобы остановить задачу Поиск вредоносного ПО и включить вывод текущих событий, связанных с этой задачей, выполните следующую команду:

kfl-control --stop-task <идентификатор/имя задачи> -W

Задача Поиск вредоносного ПО по умолчанию запускается со значениями параметров, указанными в Приложении 3.

Текущие значения параметров задачи вы можете вывести одним из следующих способов:

При необходимости изменить параметры задачи Поиск вредоносного ПО вы можете:

  • Изменять все параметры задачи при помощи конфигурационного файла. Для этого нужно выполнить следующие действия:
    1. Вывести параметры задачи в конфигурационный файл с помощью команды kfl-control --get-settings <идентификатор/имя задачи> [--json].

      Будет сформирован конфигурационный файл с текущими параметрами задачи.

    2. Внести изменения в параметры задачи в сформированном конфигурационном файле, выбрав значения из таблицы ниже.
    3. При необходимости добавить в конфигурационный файл область проверки или удалить из него те области проверки, которые вы хотите пропустить.

      Чтобы добавить область проверки, добавьте в конфигурационный файл секцию [ScanScope.item_#] и укажите значения ее параметров, выбрав их из таблицы ниже.

      Чтобы удалить область проверки, удалите из конфигурационного файла секцию [ScanScope.item_#], соответствующую ненужной области проверки, вместе с ее параметрами.

    4. При необходимости добавить в конфигурационный файл область исключения из проверки.

      Чтобы добавить область исключения из проверки добавьте в конфигурационный файл секцию [ExcludedFromScanScope.item_#] для исключения файлов и директорий и укажите значения ее параметров, выбрав их из таблицы ниже.

    5. Сохранить конфигурационный файл.
    6. Выполнить команду kfl-control --set-settings <идентификатор/имя задачи> --file <путь к конфигурационному файлу> [--json].
  • Изменять отдельные параметры задачи, с помощью ключей командной строки. Для этого нужно выполнить следующие действия:
    1. Изменить значения параметров, выбрав значения из таблицы ниже, с помощью команды kfl-control --set-settings <идентификатор/имя задачи> <имя параметра>=<значение параметра> [<имя параметра>=<значение параметра>].
    2. При необходимости добавить область проверки с помощью команды kfl-control --set-settings <идентификатор/имя задачи> --add-path <путь к директории с проверяемыми объектами> или удалить область проверки с помощью команды kfl-control --set-settings <идентификатор/имя задачи> --del-path <путь к директории с проверяемыми объектами>.
    3. При необходимости добавить область исключения из проверки с помощью команды kfl-control --set-settings <идентификатор/имя задачи> --add-exclusion <путь к директории с исключаемыми объектами> или удалить область исключения из проверки с помощью команды kfl-control --set-settings <идентификатор/имя задачи> --del-exclusion <путь к директории с исключаемыми объектами>.
  • Восстанавливать заданные по умолчанию параметры задачи с помощью команды kfl-control --set-settings <идентификатор/имя задачи> --set-to-default.

Подробная инструкция по изменению параметров задач приложения приведена в разделе Как изменить параметры задачи в командной строке.

В таблице ниже описаны все параметры и значения параметров задачи Поиск вредоносного ПО.

Параметры задачи Поиск вредоносного ПО

Параметр

Описание

Значения

ScanFiles

Включение проверки файлов.

Yes (значение по умолчанию) – проверять файлы.

No – не проверять файлы.

ScanBootSectors

Включение проверки загрузочных секторов.

Yes (значение по умолчанию) – проверять загрузочные секторы.

No – не проверять загрузочные секторы.

ScanComputerMemory

Включение проверки памяти процессов и памяти ядра.

Yes (значение по умолчанию) – проверять память процессов и память ядра.

No – не проверять память процессов и память ядра.

ScanStartupObjects

Включение проверки объектов автозапуска.

Yes (значение по умолчанию) – проверять объекты автозапуска.

No – не проверять объекты автозапуска.

ScanArchived

Включение проверки архивов (включая самораспаковывающиеся архивы SFX).

Приложение проверяет такие архивы, как: .zip; .7z*; .7-z; .rar; .iso; .cab; .jar; .bz; .bz2; .tbz; .tbz2; .gz; .tgz; .arj. Список поддерживаемых форматов архивов зависит от используемых баз приложения.

Yes (значение по умолчанию) – проверять архивы.

Если указано значение FirstAction=Recommended, то в зависимости от типа архива приложение удаляет либо зараженный объект, либо целиком весь архив, содержащий угрозу.

No – не проверять архивы.

ScanSfxArchived

Включение проверки только самораспаковывающихся архивов (архивов, имеющих в своем составе исполняемый модуль-распаковщик, self-extracting archives).

Yes (значение по умолчанию) – проверять самораспаковывающиеся архивы.

No – не проверять самораспаковывающиеся архивы.

ScanMailBases

Включение проверки почтовых баз приложений Microsoft Outlook, Outlook Express, The Bat и других.

Yes – проверять файлы почтовых баз.

No (значение по умолчанию) – не проверять файлы почтовых баз.

ScanPlainMail

Включение проверки сообщений электронной почты в текстовом формате (plain text).

Yes – проверять сообщения электронной почты в текстовом формате.

No (значение по умолчанию) – не проверять сообщения электронной почты в текстовом формате.

SizeLimit

Максимальный размер проверяемого объекта (в мегабайтах). Если размер проверяемого объекта превышает указанное значение, приложение пропускает объект при проверке.

0 – 999999.

0 – приложение проверяет объекты любого размера.

Значение по умолчанию: 0.

TimeLimit

Максимальная продолжительность проверки объекта (в секундах). Приложение прекращает проверку объекта, если она выполняется дольше, чем указано значением этого параметра.

0 – 9999.

0 – продолжительность проверки объектов не ограничена.

Значение по умолчанию: 0.

FirstAction

Выбор первого действия, которое приложение будет выполнять над зараженными объектами.

Disinfect (лечить) – приложение пытается вылечить объект, сохранив копию объекта в резервном хранилище. Если лечение невозможно (например, тип объекта или тип угрозы в объекте не предполагает лечения), приложение оставляет объект неизменным. Если первым действием выбрано Disinfect, рекомендуется задать второе действие в параметре SecondAction.

Remove (удалять) – приложение удаляет зараженный объект, предварительно создав его резервную копию.

Recommended (выполнять рекомендуемое действие) – приложение автоматически выбирает и выполняет действие над объектом на основе данных об обнаруженной в объекте угрозе. Например, Kaspersky сразу удаляет троянские приложения, так как они не заражают другие файлы и поэтому не предполагают лечения.

Skip (пропускать) – приложение не пытается вылечить или удалить зараженный объект. Информация о зараженном объекте сохраняется в журнале.

Значение по умолчанию: Recommended.

SecondAction

Выбор второго действия, которое приложение будет выполнять над зараженными объектами. Приложение выполняет второе действие, если не удалось выполнить первое действие.

Значения параметра SecondAction такие же, как значения параметра FirstAction.

Если в качестве первого действия выбрано Skip (пропускать) или Remove (удалять), то второе действие указывать не нужно. В остальных случаях рекомендуется указывать два действия. Если вы не указали второе действие, приложение в качестве второго действия выполняет Skip (пропускать).

Значение по умолчанию: Skip.

UseExcludeMasks

Включение исключения из проверки объектов, указанных параметром ExcludeMasks.item_#.

Yes – исключать из проверки объекты, указанные параметром ExcludeMasks.item_#.

No (значение по умолчанию) – не исключать из проверки объекты, указанные параметром ExcludeMasks.item_#.

ExcludeMasks.item_#

Исключение из проверки объектов по именам или маскам. C помощью этого параметра вы можете исключать из указанной области проверки отдельный файл по имени или несколько файлов, используя маски в формате SHELL.

Перед тем как указать значение этого параметра, убедитесь, что включен параметр UseExcludeMasks.

Значение по умолчанию не задано.

Пример:

UseExcludeMasks=Yes

ExcludeMasks.item_0000=eicar1.*

ExcludeMasks.item_0001=eicar2.*

 

UseExcludeThreats

Включение исключения из проверки объектов с угрозами, указанными параметром ExcludeThreats.item_#.

Yes – исключать из проверки объекты, которые содержат угрозы, указанные параметром ExcludeThreats.item_#.

No (значение по умолчанию) – не исключать из проверки объекты, которые содержат угрозы, указанные параметром ExcludeThreats.item_#.

ExcludeThreats.item_#

Исключение из проверки объектов по названиям обнаруженных в объектах угроз. Перед тем как указать значения этого параметра, убедитесь, что включен параметр UseExcludeThreats.

Чтобы исключить объект из проверки, укажите полное название угрозы, обнаруженной в этом объекте: строку-заключение приложения о том, что объект является зараженным.

Например, вы используете одну из утилит для получения информации о сети. Чтобы приложение не блокировало ее, добавьте полное название угрозы в ней в список угроз, исключаемых из проверки.

Вы можете найти полное название угрозы, обнаруженной в объекте, в журнале приложения или на веб-сайте https://threats.kaspersky.com.

Значение параметра чувствительно к регистру.

Значение по умолчанию не задано.

Пример:

UseExcludeThreats=Yes

ExcludeThreats.item_0000=EICAR-Test-*

ExcludeThreats.item_0001=?rojan.Linux

 

 

UseGlobalExclusions

Включение использования глобальных исключений при проверке.

Yes (значение по умолчанию) – использовать глобальные исключения.

No – не использовать глобальные исключения.

UseOASExclusions

Включение использования исключений Защиты от файловых угроз при проверке.

Yes (значение по умолчанию) – использовать исключения Защиты от файловых угроз.

No – не использовать исключения Защиты от файловых угроз.

ReportCleanObjects

Включение записи в журнал информации о проверенных объектах, которые приложение признало незараженными.

Вы можете включить этот параметр, например, чтобы убедиться в том, что какой-либо объект был проверен приложением.

Yes – записывать в журнал информацию о незараженных объектах.

No (значение по умолчанию) – не записывать в журнал информацию о незараженных объектах.

ReportPackedObjects

Включение записи в журнал информации о проверенных объектах, которые являются частью составных объектов.

Вы можете включить этот параметр, например, чтобы убедиться в том, что какой-либо объект в составе архива был проверен приложением.

Yes – записывать в журнал информацию о проверке объектов в составе архивов.

No (значение по умолчанию) – не записывать в журнал информацию о проверке объектов в составе архивов.

ReportUnprocessedObjects

Включение записи в журнал информации об объектах, которые по какой-то причине не были обработаны.

 

Yes – записывать в журнал информацию о необработанных объектах.

No (значение по умолчанию) – не записывать в журнал информацию о необработанных объектах.

UseAnalyzer

Включение эвристического анализатора.

Эвристический анализ позволяет приложению распознавать угрозы еще до того, как они станут известны вирусным аналитикам.

Yes (значение по умолчанию) – включить эвристический анализатор.

No – выключить эвристический анализатор.

HeuristicLevel

Уровень эвристического анализа.

Вы можете задать уровень эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска угроз, степенью загрузки ресурсов операционной системы и длительностью проверки. Чем выше установленный уровень эвристического анализа, тем больше ресурсов потребует проверка и больше времени займет.

Light – наименее тщательная проверка, минимальная загрузка системы.

Medium – средний уровень эвристического анализа, сбалансированная загрузка системы.

Deep – наиболее тщательная проверка, максимальная загрузка системы.

Recommended (значение по умолчанию) – рекомендуемое значение.

UseIChecker

Включение использования технологии iChecker.

Yes (значение по умолчанию) – включить использование технологии iChecker.

No – выключить использование технологии iChecker.

DeviceNameMasks.item_#

Список названий устройств, загрузочные секторы которых будет проверять приложение.

Значение этого параметра не должно быть пустым. Для выполнения задачи требуется указать хотя бы одну маску названия устройства.

AllObjects – проверять загрузочные секторы всех устройств.

<маска названия устройства> – проверять загрузочные секторы устройств, названия которых содержат указанную маску.

Значение по умолчанию: /** – любой набор символов в названии устройства, включая символ /.

Секция [ScanScope.item_#] содержит следующие параметры:

AreaDesc

Описание области проверки. Cодержит дополнительную информацию об области проверки. Максимальная длина строки, задаваемой этим параметром: 4096 символов.

Значение по умолчанию: All objects.

Пример:

AreaDesc="Mail bases scan"

 

UseScanArea

Включение проверки указанной области. Для выполнения задачи требуется включить проверку хотя бы одной области.

Yes (значение по умолчанию) – проверять указанную область.

No – не проверять указанную область.

AreaMask.item_#

Ограничение области проверки. В области проверки приложение проверяет только файлы, указанные с помощью масок в формате SHELL.

Если параметр не указан, приложение проверяет все объекты в области проверки. Вы можете указать несколько значений этого параметра.

Значение по умолчанию: * (проверять все объекты).

Пример:

AreaMask.item_<номер элемента>=*doc

 

Path

Путь к директории с проверяемыми объектами.

 

<путь к локальной директории> – проверять объекты в указанной директории.

Shared:NFS – проверять ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу NFS.

Shared:SMB – проверять ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу Samba.

Mounted:NFS – проверять удаленные директории, смонтированные на устройстве по протоколу NFS.

Mounted:SMB – проверять удаленные директории, смонтированные на устройстве по протоколу Samba.

AllRemoteMounted – проверять все удаленные директории, смонтированные на устройстве с помощью протоколов Samba и NFS.

AllShared – проверять все ресурсы файловой системы устройства, доступ к которым предоставляется по протоколам Samba и NFS.

<тип файловой системы> – проверять все ресурсы указанной файловой системы устройства.

Секция [ExcludedFromScanScope.item_#] содержит следующие параметры:

AreaDesc

Описание области исключения из проверки. Содержит дополнительную информацию об области исключения.

Значение по умолчанию не задано.

UseScanArea

Исключение указанной области из проверки.

Yes (значение по умолчанию) – исключать указанную область.

No – не исключать указанную область.

AreaMask.item_#

Ограничение области исключения из проверки. В области исключения приложение исключает только файлы, указанные с помощью масок в формате SHELL.

Если параметр не указан, приложение исключает все объекты в области исключения. Вы можете указать несколько значений этого параметра.

Значение по умолчанию: * (исключать все объекты).

Path

Путь к директории с исключаемыми объектами.

 

<путь к локальной директории> – исключать из проверки объекты в указанной директории (включая вложенные директории). Для указания пути вы можете использовать маски.

Вы можете использовать символ * (звездочка) для формирования маски имени файла или директории.

Вы можете указать один символ * вместо любого набора символов (включая пустой набор), предшествующего символу / в имени файла или директории. Например, /dir/*/file или /dir/*/*/file.

Вы можете указать два последовательно идущих символа * вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ /. Например, /dir/**/file*/ или /dir/file**/.

Маску ** можно использовать в имени директории только один раз. Например, /dir/**/**/file – это неправильная маска.

Вы можете использовать символ ? вместо любого одного символа в имени файла или директории.

В системах с файловой системой btrfs и включенными активными снимками для оптимизации работы задач проверки рекомендуется добавить в исключения путь со снимками, смонтированными системой в режиме "только чтение". Например, в системах на базе SUSE/OpenSUSE вы можете добавить исключение вида /.snapshots/*/snapshot/.

Mounted:NFS – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу NFS.

Mounted:SMB – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу Samba.

AllRemoteMounted – исключать из проверки все удаленные директории, смонтированные на устройстве с помощью протоколов Samba и NFS.

<тип файловой системы> – исключать из проверки все ресурсы указанной файловой системы устройства.

Удаленные директории исключаются из проверки приложением, только если они были смонтированы до запуска задачи. Удаленные директории, смонтированные после запуска задачи, из проверки не исключаются.

В начало
[Topic 291134]

Как выборочно проверить файлы и директории в командной строке

Вы можете выполнять выборочную проверку указанных файлов и директорий с помощью команды kfl-control --scan-file.

Выборочная проверка выполняется с параметрами, которые хранятся в предустановленной задаче Scan_File (ID:3). Вы можете настраивать параметры выборочной проверки файлов, изменяя параметры этой задачи (см. таблицу ниже).

Изменять параметры задач нужно до их запуска.

Чтобы запустить выборочную проверку указанных файлов и директорий, выполните следующую команду:

kfl-control --scan-file <путь> [--action <действие>]

где:

  • <путь> – путь к файлу или директории, которые вы хотите проверить. Вы можете указать несколько путей, разделяя их пробелами.
  • --action <действие> – действие, которое приложение будет выполнять над зараженными объектами. Если вы не укажете ключ --action, приложение будет выполнять действие Recommended.

В результате выполнения команды создается временная задача проверки файлов, которая автоматически удаляется после завершения. При этом в консоль выводятся результаты проверки.

В таблице ниже описаны все доступные значения и значения по умолчанию для всех параметров, которые вы можете указать для задачи Scan_File.

Секции [ScanScope.item_#] и [ExcludedFromScanScope.item_#], заданные в задаче Scan_File, не учитываются при выполнении выборочной проверки.

Параметры задачи Scan_File

Параметр

Описание

Значения

ScanFiles

Включение проверки файлов.

Yes (значение по умолчанию) – проверять файлы.

No – не проверять файлы.

ScanBootSectors

Включение проверки загрузочных секторов.

Yes – проверять загрузочные секторы.

No (значение по умолчанию) – не проверять загрузочные секторы.

ScanComputerMemory

Включение проверки памяти процессов и памяти ядра.

Yes – проверять память процессов и память ядра.

No (значение по умолчанию) – не проверять память процессов и память ядра.

ScanStartupObjects

Включение проверки объектов автозапуска.

Yes – проверять объекты автозапуска.

No (значение по умолчанию) – не проверять объекты автозапуска.

ScanArchived

Включение проверки архивов (включая самораспаковывающиеся архивы SFX).

Приложение проверяет такие архивы, как: .zip; .7z*; .7-z; .rar; .iso; .cab; .jar; .bz; .bz2; .tbz; .tbz2; .gz; .tgz; .arj. Список поддерживаемых форматов архивов зависит от используемых баз приложения.

Yes (значение по умолчанию) – проверять архивы. Если указано значение FirstAction=Recommended, то в зависимости от типа архива приложение удаляет либо зараженный объект, либо целиком весь архив, содержащий угрозу.

No – не проверять архивы.

ScanSfxArchived

Включение проверки только самораспаковывающихся архивов (архивов, имеющих в своем составе исполняемый модуль-распаковщик, self-extracting archives).

Yes (значение по умолчанию) – проверять самораспаковывающиеся архивы.

No – не проверять самораспаковывающиеся архивы.

ScanMailBases

Включение проверки почтовых баз приложений Microsoft Outlook, Outlook Express, The Bat! и других.

Yes – проверять файлы почтовых баз.

No (значение по умолчанию) – не проверять файлы почтовых баз.

ScanPlainMail

Включение проверки сообщений электронной почты в текстовом формате (plain text).

Yes – проверять сообщения электронной почты в текстовом формате.

No (значение по умолчанию) – не проверять сообщения электронной почты в текстовом формате.

SizeLimit

Максимальный размер проверяемого объекта (в мегабайтах). Если размер проверяемого объекта превышает указанное значение, приложение пропускает объект при проверке.

0 – 999999.

0 – приложение проверяет объекты любого размера.

Значение по умолчанию: 0.

TimeLimit

Максимальная продолжительность проверки объекта (в секундах). Приложение прекращает проверку объекта, если она выполняется дольше, чем указано значением этого параметра.

0 – 9999.

0 – продолжительность проверки объектов не ограничена.

Значение по умолчанию: 0.

FirstAction

Выбор первого действия, которое приложение будет выполнять над зараженными объектами.

 

Disinfect (лечить) – приложение пытается вылечить объект, сохранив копию объекта в резервном хранилище. Если лечение невозможно (например, тип объекта или тип угрозы в объекте не предполагает лечения), приложение оставляет объект неизменным. Если первым действием выбрано Disinfect, рекомендуется задать второе действие в параметре SecondAction.

Remove (удалять) – приложение удаляет зараженный объект, предварительно создав его резервную копию.

Recommended (выполнять рекомендуемое действие) – приложение автоматически выбирает и выполняет действие над объектом на основе данных об обнаруженной в объекте угрозе. Например, Kaspersky сразу удаляет троянские приложения, так как они не заражают другие файлы и поэтому не предполагают лечения.

Skip (пропускать) – приложение не пытается вылечить или удалить зараженный объект. Информация о зараженном объекте сохраняется в журнале.

Значение по умолчанию: Recommended.

SecondAction

Выбор второго действия, которое приложение будет выполнять над зараженными объектами. Приложение выполняет второе действие, если не удалось выполнить первое действие.

Значения параметра SecondAction такие же, как значения параметра FirstAction.

Если в качестве первого действия выбрано Skip (пропускать) или Remove (удалять), то второе действие указывать не нужно. В остальных случаях рекомендуется указывать два действия. Если вы не указали второе действие, приложение в качестве второго действия выполняет Skip (пропускать).

Значение по умолчанию: Skip.

UseExcludeMasks

Включение исключения из проверки объектов, указанных параметром ExcludeMasks.item_#.

Yes – исключать из проверки объекты, указанные параметром ExcludeMasks.item_#.

No (значение по умолчанию) – не исключать из проверки объекты, указанные параметром ExcludeMasks.item_#.

ExcludeMasks.item_#

Исключение из проверки объектов по именам или маскам. C помощью этого параметра вы можете исключать из указанной области проверки отдельный файл по имени или несколько файлов, используя маски в формате SHELL.

Значение по умолчанию не задано.

Пример:

UseExcludeMasks=Yes

ExcludeMasks.item_0000=eicar1.*

ExcludeMasks.item_0001=eicar2.*

 

UseExcludeThreats

Включение исключения из проверки объектов с угрозами, указанными параметром ExcludeThreats.item_#.

Yes – исключать из проверки объекты, которые содержат угрозы, указанные параметром ExcludeThreats.item_#.

No (значение по умолчанию) – не исключать из проверки объекты, которые содержат угрозы, указанные параметром ExcludeThreats.item_#.

ExcludeThreats.item_#

Исключение из проверки объектов по названиям обнаруженных в объектах угроз. Перед тем как указать значения этого параметра, убедитесь, что включен параметр UseExcludeThreats.

Чтобы исключить объект из проверки, укажите полное название угрозы, обнаруженной в этом объекте: строку-заключение приложения о том, что объект является зараженным.

Например, вы используете одну из утилит для получения информации о сети. Чтобы приложение не блокировало ее, добавьте полное название угрозы в ней в список угроз, исключаемых из проверки.

Вы можете найти полное название угрозы, обнаруженной в объекте, в журнале приложения или на веб-сайте https://threats.kaspersky.com.

Значение параметра чувствительно к регистру.

Значение по умолчанию не задано.

Пример:

UseExcludeThreats=Yes

ExcludeThreats.item_0000=EICAR-Test-*

ExcludeThreats.item_0001=?rojan.Linux

 

 

UseGlobalExclusions

Включение использования глобальных исключений при проверке.

Yes (значение по умолчанию) – использовать глобальные исключения.

No – не использовать глобальные исключения.

UseOASExclusions

Включение использования исключений Защиты от файловых угроз при проверке.

Yes (значение по умолчанию) – использовать исключения Защиты от файловых угроз.

No – не использовать исключения Защиты от файловых угроз.

ReportCleanObjects

Включение записи в журнал информации о проверенных объектах, которые приложение признало незараженными.

Вы можете включить этот параметр, например, чтобы убедиться в том, что какой-либо объект был проверен приложением.

Yes – записывать в журнал информацию о незараженных объектах.

No (значение по умолчанию) – не записывать в журнал информацию о незараженных объектах.

ReportPackedObjects

Включение записи в журнал информации о проверенных объектах, которые являются частью составных объектов.

Вы можете включить этот параметр, например, чтобы убедиться в том, что какой-либо объект в составе архива был проверен приложением.

Yes – записывать в журнал информацию о проверке объектов в составе архивов.

No (значение по умолчанию) – не записывать в журнал информацию о проверке объектов в составе архивов.

ReportUnprocessedObjects

Включение записи в журнал информации об объектах, которые по какой-то причине не были обработаны.

Yes – записывать в журнал информацию о необработанных объектах.

No (значение по умолчанию) – не записывать в журнал информацию о необработанных объектах.

UseAnalyzer

Включение эвристического анализатора.

Эвристический анализ позволяет приложению распознавать угрозы еще до того, как они станут известны вирусным аналитикам.

Yes (значение по умолчанию) – включить эвристический анализатор.

No – выключить эвристический анализатор.

HeuristicLevel

Уровень эвристического анализа.

Вы можете задать уровень эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска угроз, степенью загрузки ресурсов операционной системы и длительностью проверки. Чем выше установленный уровень эвристического анализа, тем больше ресурсов потребует проверка и больше времени займет.

Light – наименее тщательная проверка, минимальная загрузка системы.

Medium – средний уровень эвристического анализа, сбалансированная загрузка системы.

Deep – наиболее тщательная проверка, максимальная загрузка системы.

Recommended (значение по умолчанию) – рекомендуемое значение.

UseIChecker

Включение использования технологии iChecker.

Yes (значение по умолчанию) – включить использование технологии iChecker.

No – выключить использование технологии iChecker.

DeviceNameMasks.item_#

Список названий устройств, загрузочные секторы которых будет проверять приложение.

Значение этого параметра не должно быть пустым. Для выполнения задачи требуется указать хотя бы одну маску названия устройства.

AllObjects – проверять загрузочные секторы всех устройств.

<маска названия устройства> – проверять загрузочные секторы устройств, названия которых содержат указанную маску.

Значение по умолчанию: /** – любой набор символов в названии устройства, включая символ /.

Секция [ScanScope.item_#] содержит следующие параметры:

AreaDesc

Описание области проверки, содержит дополнительную информацию об области проверки. Максимальная длина строки, задаваемой этим параметром: 4096 символов.

Значение по умолчанию: All objects.

Пример:

AreaDesc="Проверка почтовых баз"

 

UseScanArea

Включение проверки указанной области. Для выполнения задачи требуется включить проверку хотя бы одной области.

Yes (значение по умолчанию) – проверять указанную область.

No – не проверять указанную область.

AreaMask.item_#

Ограничение области проверки. В области проверки приложение проверяет только файлы, указанные с помощью масок в формате SHELL.

Если параметр не указан, приложение проверяет все объекты в области проверки. Вы можете указать несколько значений этого параметра.

Значение по умолчанию: * (проверять все объекты).

Пример:

AreaMask.item_<номер элемента>=*doc

 

Path

Путь к директории с проверяемыми объектами.

 

<путь к локальной директории> – проверять объекты в указанной директории.

Shared:NFS – проверять ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу NFS.

Shared:SMB – проверять ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу Samba.

Mounted:NFS – проверять удаленные директории, смонтированные на устройстве по протоколу NFS.

Mounted:SMB – проверять удаленные директории, смонтированные на устройстве по протоколу Samba.

AllRemoteMounted – проверять все удаленные директории, смонтированные на устройстве с помощью протоколов Samba и NFS.

AllShared – проверять все ресурсы файловой системы устройства, доступ к которым предоставляется по протоколам Samba и NFS.

<тип файловой системы> – проверять все ресурсы указанной файловой системы устройства.

Секция [ExcludedFromScanScope.item_#] содержит следующие параметры:

AreaDesc

Описание области исключения из проверки, содержит дополнительную информацию об области исключения.

Значение по умолчанию не задано.

UseScanArea

Исключение указанной области из проверки.

Yes (значение по умолчанию) – исключать указанную область.

No – не исключать указанную область.

AreaMask.item_#

Ограничение области исключения из проверки. В области исключения приложение исключает только файлы, указанные с помощью масок в формате SHELL.

Если параметр не указан, приложение исключает все объекты в области исключения. Вы можете указать несколько значений этого параметра.

Значение по умолчанию: * (исключать все объекты).

Path

Путь к директории с исключаемыми объектами.

<путь к локальной директории> – исключать из проверки объекты в указанной директории (включая вложенные директории). Для указания пути вы можете использовать маски.

Вы можете использовать символ * (звездочка) для формирования маски имени файла или директории.

Вы можете указать один символ * вместо любого набора символов (включая пустой набор), предшествующего символу / в имени файла или директории. Например, /dir/*/file или /dir/*/*/file.

Вы можете указать два последовательно идущих символа * вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ /. Например, /dir/**/file*/ или /dir/file**/.

Маску ** можно использовать в имени директории только один раз. Например, /dir/**/**/file – это неправильная маска.

Вы можете использовать символ ? вместо любого одного символа в имени файла или директории.

В системах с файловой системой btrfs и включенными активными снимками для оптимизации работы задач проверки рекомендуется добавить в исключения путь со снимками, смонтированными системой в режиме "только чтение". Например, в системах на базе SUSE/OpenSUSE вы можете добавить исключение вида /.snapshots/*/snapshot/.

Mounted:NFS – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу NFS.

Mounted:SMB – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу Samba.

AllRemoteMounted – исключать из проверки все удаленные директории, смонтированные на устройстве с помощью протоколов Samba и NFS.

<тип файловой системы> – исключать из проверки все ресурсы указанной файловой системы устройства.

Удаленные директории исключаются из проверки приложением, только если они были смонтированы до запуска задачи. Удаленные директории, смонтированные после запуска задачи, из проверки не исключаются.

В начало
[Topic 290528]

Как выборочно проверить файлы и директории в интерфейсе приложения

Чтобы запустить выборочную проверку указанных файлов и директорий в интерфейсе приложения с параметрами задачи по умолчанию:

  1. Откройте контекстное меню выбранного файла или директории нажатием на правую кнопку мыши.
  2. Выберите пункт контекстного меню Открыть в другой программе.

    Откроется окно Открывать в программе.

  3. Выберите приложение Kaspersky в открывшемся окне.

    Задача выборочной проверки и ход ее выполнения отобразятся в интерфейсе приложения.

Чтобы запустить выборочную проверку указанных файлов и директорий в интерфейсе приложения с предварительно измененными параметрами задачи:

  1. Выведите параметры задачи в конфигурационный файл с помощью команды kfl-control --get-settings 3 [--json].

    Сформирован конфигурационный файл с текущими параметрами задачи.

  2. Внесите изменения в параметры задачи в сформированном конфигурационном файле выбрав значения из таблицы.
  3. Сохраните конфигурационный файл.
  4. Выполните команду kfl-control --set-settings 3 --file <путь к конфигурационному файлу> [--json].
  5. Откройте контекстное меню выбранного файла или директории нажатием на правую кнопку мыши.
  6. Выберите пункт контекстного меню Открыть в другой программе.

    Откроется окно Открывать в программе.

  7. Выберите приложение Kaspersky в открывшемся окне.

    Задача выборочной проверки и ход ее выполнения отобразятся в интерфейсе приложения.

В начало
[Topic 290633]