本帖最后由 瑞星工程师 于 2016-8-10 16:59 编辑
超高维度的智能引擎——RDM+ 来了!
0x00简介瑞星反恶意软件引擎命令行扫描器 社区交流版(以下简称:RAMECL) 是面向社区提供的扫描器命令行版本,包含一些正式产品未来即将发布的新的特性,也可以视它为新技术预览版,欢迎社区人员使用、测试和反馈。
0x01系统要求主流的Windows操作系统(非简体中文的Windows操作系统需要安装有简体中文字体)。
0x02下载地址软件增加自动判别过期机制,过期后会自动在软件中提示最新版本的下载地址。
0x03使用方法将压缩包中的文件解压,在Windows命令行提示符下运行: ramecl.exe[需要扫描的路径],即可对该路径的文件或文件夹进行扫描。 例1:扫描D盘的test目录下的文件 ramecl.exe d:\test
例2:扫描C盘temp目录下的test1.exe文件 ramecl.exe c:\temp\test1.exe
RAMECL支持直接对主流压缩包格式文件进行扫描,可以将扫描路径直接指向压缩包文件,扫描器会自动扫描压缩包中的文件。 例3:扫描D盘downloads目录下名为malwares.zip的压缩文件 ramecl d:\downloads\malwares.zip
RAMECL支持日志记录,参数为 –log=。如果日志的路径中包含空格,需要将-log=也使用双引号包起来。 例4:扫描D盘Malwares目录,并将结果保存到D:\report_20160601.log文件中 ramecl –log=d:\report_20160601.log d:\malwares
例5:日志路径包含有空格 ramecl "-log=c:\a b c\log.txt" c:\virus
RAMECL支持JSON形式输出 例6:扫描D盘Malwares目录,并将结果以json显示。 ramecl -output-json d:\malwares
设置RAMECL的扫描线程数 例7:开启8个线程扫描D盘Malwares目录。 ramecl -workers=8 d:\malwares
一般情况下扫描线程数越多,CPU占用越高,扫描速度越快。ramecl默认开启4线程扫描。
0x04 FAQ1. RAMECL能否代替杀毒软件?
2. RAMECL如何升级病毒库? 每次启动RAMECL,程序会自动联网更新病毒库。首次启动,视网络状况可能需要几秒至几分钟的时间完成升级。扫描程序及模块的更新需要重新下载压缩包解压替换,届时会在本帖中进行更新,敬请及时关注。
3. RAMECL是否会在我的机器上安装驱动或者修改注册表?我如何卸载它? RAMECL是“绿色软件”,不会在机器上安装程序也不会修改系统注册表等配置文件,不再需要该软件的时候直接删除即可。
4. 我已经安装了杀毒软件了,是否可以和RAMECL同时使用? 可以。RAMECL和其它杀毒软件不存在兼容性问题,可以同时使用。但在扫描恶意软件样本时,待扫文件可能会被其它杀毒软件的监控拦截造成RAMECL扫描结果不准确。使用RAMECL进行扫描测试时,在确保系统安全的情况下可暂时关闭其它杀毒软件的文件监控功能。
5. RAMECL使用时显示乱码。 RAMECL需要简体中文环境支持。如果您使用的是其它语言版本的Windows系统,请先安装简体中文字体。
6. RAMECL是否支持瑞星云? 支持。
7. 能否关闭RAMECL的云功能? 可以,在扫描参数中加入-!cloud,即可关闭云功能。瑞星扫描器除云端的病毒特征记录外,一些本地子引擎也需要云端配合。若要发挥引擎的全部效能,强烈建议在联网环境下进行测试。
8. RAMECL和瑞星杀毒软件V17的扫描结果是否一致? RAMECL包含了一些瑞星最新的引擎技术和新的特性,这些技术尚未加入到目前已发布的产品当中,因此一般情况下RAMECL检出率应不低于V17。
9. 发现RAMECL误报了,如何处理? 发现误报可以直接发送邮件到shiyu#rising.com.cn(发送时请用@替换#)。邮件标题请注明“RAMECL误报”,正文中标注为何软件、文件。被误报的文件请压缩并加密码:clean,如果文件过大可以先传网盘后发送链接。您的帮助对我们非常重要!
10.RAMECL扫描过程中卡死、程序崩溃如何反馈? 如果RAMECL在扫描特定的文件出现卡死、崩溃等情况,请将导致此情况的文件邮件发送到shiyu#rising.com.cn(发送时请用@替换#)。邮件标题请注明“RAMECL扫描卡死”或“RAMECL扫描崩溃”。文件请压缩并加密码:clean,如果文件过大可以先传网盘后发送链接。您的帮助对我们非常重要!
11.升级过程中提示错误码=0,是什么原因?升级失败?
错误码=0,说明没有错误,升级处理成功。
更新内容:
2016.08.10
改用多线程模式,加快扫描速度。默认为4线程,可通过参数 -workers=? 来调节,最大线程数8
增加了是否使用简单云引擎的开关。默认开启,可通过参数 -!cloud 关闭
增加了RDM+引擎预览版,性能方面未做优化,默认开启,可通过参数 -!rdm+ 关闭
增加了UPX全系列脱壳,主要用来检测Linux(X86/MIPS/ARM)上加壳后恶意软件
增加了WSF格式解析
调整了混淆宏代码识别逻辑
增加-output-json参数,输出结果以JSON形式输出
|