RDM+ 来了! 瑞星反恶意软件引擎命令行扫描器社区交流版（更新日期：2016.08.10）

瑞星工程师

超高维度的智能引擎——RDM+ 来了！


0x00简介

瑞星反恶意软件引擎命令行扫描器 社区交流版（以下简称：RAMECL） 是面向社区提供的扫描器命令行版本，包含一些正式产品未来即将发布的新的特性，也可以视它为新技术预览版，欢迎社区人员使用、测试和反馈。

0x01系统要求

主流的Windows操作系统（非简体中文的Windows操作系统需要安装有简体中文字体）。

0x02下载地址

下载地址：http://112.74.214.215/ramecl-201600810.7z

软件增加自动判别过期机制，过期后会自动在软件中提示最新版本的下载地址。

0x03使用方法

将压缩包中的文件解压，在Windows命令行提示符下运行：

ramecl.exe[需要扫描的路径]，即可对该路径的文件或文件夹进行扫描。

例1：扫描D盘的test目录下的文件

ramecl.exe d:\test

例2：扫描C盘temp目录下的test1.exe文件

ramecl.exe c:\temp\test1.exe

RAMECL支持直接对主流压缩包格式文件进行扫描，可以将扫描路径直接指向压缩包文件，扫描器会自动扫描压缩包中的文件。

例3：扫描D盘downloads目录下名为malwares.zip的压缩文件

ramecl d:\downloads\malwares.zip

RAMECL支持日志记录，参数为 –log=。如果日志的路径中包含空格，需要将-log=也使用双引号包起来。

例4：扫描D盘Malwares目录，并将结果保存到D:\report_20160601.log文件中

ramecl –log=d:\report_20160601.log d:\malwares

例5：日志路径包含有空格

ramecl "-log=c:\a b c\log.txt" c:\virus

RAMECL支持JSON形式输出

例6：扫描D盘Malwares目录，并将结果以json显示。

ramecl -output-json d:\malwares

设置RAMECL的扫描线程数

例7：开启8个线程扫描D盘Malwares目录。

ramecl  -workers=8 d:\malwares

一般情况下扫描线程数越多，CPU占用越高，扫描速度越快。ramecl默认开启4线程扫描。

0x04 FAQ

1.   RAMECL能否代替杀毒软件？

不能。发布RAMECL旨在与社区爱好者技术交流、不断完善瑞星杀毒软件引擎。其并不包含杀毒软件所具有的实时防护、病毒清除等功能，故不能替代杀毒软件使用。若需要功能完备的杀毒软件，推荐安装使用免费的瑞星杀毒软件V17（http://antivirus.rising.com.cn/）。

2.   RAMECL如何升级病毒库？

每次启动RAMECL，程序会自动联网更新病毒库。首次启动，视网络状况可能需要几秒至几分钟的时间完成升级。扫描程序及模块的更新需要重新下载压缩包解压替换，届时会在本帖中进行更新，敬请及时关注。

3.   RAMECL是否会在我的机器上安装驱动或者修改注册表？我如何卸载它？

RAMECL是“绿色软件”，不会在机器上安装程序也不会修改系统注册表等配置文件，不再需要该软件的时候直接删除即可。

4.   我已经安装了杀毒软件了，是否可以和RAMECL同时使用？

可以。RAMECL和其它杀毒软件不存在兼容性问题，可以同时使用。但在扫描恶意软件样本时，待扫文件可能会被其它杀毒软件的监控拦截造成RAMECL扫描结果不准确。使用RAMECL进行扫描测试时，在确保系统安全的情况下可暂时关闭其它杀毒软件的文件监控功能。

5.   RAMECL使用时显示乱码。

RAMECL需要简体中文环境支持。如果您使用的是其它语言版本的Windows系统，请先安装简体中文字体。

6.   RAMECL是否支持瑞星云？

支持。

7.   能否关闭RAMECL的云功能？

可以，在扫描参数中加入-!cloud，即可关闭云功能。瑞星扫描器除云端的病毒特征记录外，一些本地子引擎也需要云端配合。若要发挥引擎的全部效能，强烈建议在联网环境下进行测试。

8.   RAMECL和瑞星杀毒软件V17的扫描结果是否一致？

RAMECL包含了一些瑞星最新的引擎技术和新的特性，这些技术尚未加入到目前已发布的产品当中，因此一般情况下RAMECL检出率应不低于V17。

9.   发现RAMECL误报了，如何处理？

发现误报可以直接发送邮件到shiyu#rising.com.cn（发送时请用@替换#）。邮件标题请注明“RAMECL误报”，正文中标注为何软件、文件。被误报的文件请压缩并加密码：clean，如果文件过大可以先传网盘后发送链接。您的帮助对我们非常重要！

10.RAMECL扫描过程中卡死、程序崩溃如何反馈？

如果RAMECL在扫描特定的文件出现卡死、崩溃等情况，请将导致此情况的文件邮件发送到shiyu#rising.com.cn（发送时请用@替换#）。邮件标题请注明“RAMECL扫描卡死”或“RAMECL扫描崩溃”。文件请压缩并加密码：clean，如果文件过大可以先传网盘后发送链接。您的帮助对我们非常重要！

11.升级过程中提示错误码=0，是什么原因？升级失败？

错误码=0，说明没有错误，升级处理成功。

更新内容：
2016.08.10
改用多线程模式，加快扫描速度。默认为4线程，可通过参数 -workers=? 来调节，最大线程数8
增加了是否使用简单云引擎的开关。默认开启，可通过参数 -!cloud 关闭
增加了RDM+引擎预览版，性能方面未做优化，默认开启，可通过参数 -!rdm+ 关闭
增加了UPX全系列脱壳，主要用来检测Linux(X86/MIPS/ARM)上加壳后恶意软件
增加了WSF格式解析
调整了混淆宏代码识别逻辑
增加-output-json参数，输出结果以JSON形式输出

瑞星工程师

将瑞星反恶意软件引擎扫描器添加到右键菜单

为方便使用瑞星反恶意软件引擎扫描器（以下简称RAMECL），我们可以将其添加到右键菜单中。具体操作如下：

1、       下载本帖中的批处理文件-ramecl.bat，并保存到扫描器程序相同的目录中。

2、       点击开始菜单->运行，或直接按键盘快捷键Win+R。在出现的运行窗口中输入“shell:sendto”,确定。

                              

3、       右键拖动扫描器所在目录下的ramecl.bat文件到杠杠打开的sendto文件夹中，并选择在当前位置创建快捷方式。将该快捷方式重命名为你想要的名字，如“瑞星扫描器”。

4、       使用时直接右键点击需要扫描的文件或文件夹，在弹出的菜单中选择“发送到”-》“瑞星扫描器”即可开始扫描。

注：批处理默认设置保存日志到扫描器目录下的report.log文件，如需自定义请编辑ramecl.bat的-log=参数。

qq271199810

花生瓜子饮矿泉水了啊~ 啤酒饮料火腿肠了啊~来~腿收一下！

qqddliu

收藏了，有时间虚拟机试用一下。

瑞星工程师

qqddliu 发表于 2016-6-1 15:31
收藏了，有时间虚拟机试用一下。

可以实机用，纯绿色扫描器，不需要安装程序。

qqddliu

瑞星工程师 发表于 2016-6-1 15:32
可以实机用，纯绿色扫描器，不需要安装程序。

ok,知道了。

KK院长

瑞星工程师 发表于 2016-6-1 15:28
将瑞星反恶意软件引擎扫描器添加到右键菜单为方便使用瑞星反恶意软件引擎扫描器（以下简称RAMECL），我们可 ...

好东西 ，过来玩玩

qqddliu

瑞星工程师 发表于 2016-6-1 15:32
可以实机用，纯绿色扫描器，不需要安装程序。

加个壳，解压时候看着这么不爽呢

瑞星工程师

qqddliu 发表于 2016-6-1 15:41
加个壳，解压时候看着这么不爽呢

呵呵，人格保证我们的扫描器绝对不含恶意代码。

dej.sf

讷，xp算不算主流系统呢？