瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱 » RDM+ 来了! 瑞星反恶意软件引擎命令行扫描器社区交流版(更新日期:2016.08.10)
麦青儿 - 2016-6-1 14:54:00
超高维度的智能引擎——RDM+ 来了!

更新日期:2016.08.10

各位喜欢玩毒的朋友,向大家奉上论坛礼物——基于智能引擎RDM+的纯命令行扫描器!
祝各位玩得开心
麦青儿 - 2016-6-1 14:58:00
0x00  简介
瑞星反恶意软件引擎命令行扫描器 社区交流版(以下简称:RAMECL) 是面向社区提供的扫描器命令行版本,包含一些正式产品未来即将发布的新的特性,也可以视它为新技术预览版,欢迎社区人员使用、测试和反馈。

0x01  系统要求
主流的Windows操作系统(非中文的Windows操作系统需要安装有中文字体)。

0x02  下载地址

下载地址:http://112.74.214.215/ramecl-201600810.7z

软件有自动判别过期机制,过期后会自动在软件中提示最新版本的下载地址。

麦青儿 - 2016-6-1 14:59:00
0x03  使用方法

将压缩包中的文件解压,在Windows命令行提示符下运行:
ramecl.exe[需要扫描的路径],即可对该路径的文件或文件夹进行扫描。

例1:扫描D盘的test目录下的文件

ramecl.exe d:\test


例2:扫描C盘temp目录下的test1.exe文件

ramecl.exe c:\temp\test1.exe


RAMECL支持直接对主流压缩包格式文件进行扫描,可以将扫描路径直接指向压缩包文件,扫描器会自动扫描压缩包中的文件。

例3:扫描D盘downloads目录下名为malwares.zip的压缩文件

ramecl d:\downloads\malwares.zip


RAMECL支持日志记录,参数为 –log=。如果日志的路径中包含空格,需要将-log=也使用双引号包起来。

例4:扫描D盘Malwares目录,并将结果保存到D:\report_20160601.log文件中

ramecl –log=d:\report_20160601.log d:\malwares


例5:日志路径包含有空格

ramecl "-log=c:\a b c\log.txt" c:\virus


RAMECL支持JSON形式输出

例6:扫描D盘Malwares目录,并将结果以json显示。

ramecl -output-json d:\malwares


设置RAMECL的扫描线程数

例7:开启8个线程扫描D盘Malwares目录。

ramecl  -workers=8 d:\malwares


一般情况下扫描线程数越多,CPU占用越高,扫描速度越快。ramecl默认开启4线程扫描。

麦青儿 - 2016-6-1 15:05:00
0x04 FAQ

1.  RAMECL能否代替杀毒软件?

不能。发布RAMECL旨在与社区爱好者技术交流、不断完善瑞星杀毒软件引擎。其并不包含杀毒软件所具有的实时防护、病毒清除等功能,故不能替代杀毒软件使用。若需要功能完备的杀毒软件,推荐安装使用免费的瑞星杀毒软件V17(http://antivirus.rising.com.cn/)。


2.  RAMECL如何升级病毒库?

每次启动RAMECL,程序会自动联网更新病毒库。首次启动,视网络状况可能需要几秒至几分钟的时间完成升级。扫描程序及模块的更新需要重新下载压缩包解压替换,届时会在本帖中进行更新,敬请及时关注。


3.  RAMECL是否会在我的机器上安装驱动或者修改注册表?我如何卸载它?

RAMECL是“绿色软件”,不会在机器上安装程序也不会修改系统注册表等配置文件,不再需要该软件的时候直接删除即可。


4.  我已经安装了杀毒软件了,是否可以和RAMECL同时使用?

可以。RAMECL和其它杀毒软件不存在兼容性问题,可以同时使用。但在扫描恶意软件样本时,待扫文件可能会被其它杀毒软件的监控拦截造成RAMECL扫描结果不准确。使用RAMECL进行扫描测试时,在确保系统安全的情况下可暂时关闭其它杀毒软件的文件监控功能。


5.  RAMECL使用时显示乱码。

RAMECL需要简体中文环境支持。如果您使用的是其它语言版本的Windows系统,请先安装简体中文字体。


6.  RAMECL是否支持瑞星云?

支持。


7.  能否关闭RAMECL的云功能?

可以,在扫描参数中加入-!cloud,即可关闭云功能。瑞星扫描器除云端的病毒特征记录外,一些本地子引擎也需要云端配合。若要发挥引擎的全部效能,强烈建议在联网环境下进行测试。


8.  RAMECL和瑞星杀毒软件V17的扫描结果是否一致?

RAMECL包含了一些瑞星最新的引擎技术和新的特性,这些技术尚未加入到目前已发布的产品当中,因此一般情况下RAMECL检出率应不低于V17。


9.  发现RAMECL误报了,如何处理?

发现误报可以直接发送邮件到shiyu#rising.com.cn(发送时请用@替换#)。邮件标题请注明“RAMECL误报”,正文中标注为何软件、文件。被误报的文件请压缩并加密码:clean,如果文件过大可以先传网盘后发送链接。您的帮助对我们非常重要!


10.RAMECL扫描过程中卡死、程序崩溃如何反馈?

如果RAMECL在扫描特定的文件出现卡死、崩溃等情况,请将导致此情况的文件邮件发送到shiyu#rising.com.cn(发送时请用@替换#)。邮件标题请注明“RAMECL扫描卡死”或“RAMECL扫描崩溃”。文件请压缩并加密码:clean,如果文件过大可以先传网盘后发送链接。您的帮助对我们非常重要!


11.升级过程中提示错误码=0,是什么原因?升级失败?
错误码=0,说明没有错误,升级处理成功。

更新内容:

2016.08.10
改用多线程模式,加快扫描速度。默认为4线程,可通过参数 -workers=? 来调节,最大线程数8
增加了是否使用简单云引擎的开关。默认开启,可通过参数 -!cloud 关闭
增加了RDM+引擎预览版,性能方面未做优化,默认开启,可通过参数 -!rdm+ 关闭
增加了UPX全系列脱壳,主要用来检测Linux(X86/MIPS/ARM)上加壳后恶意软件
增加了WSF格式解析
调整了混淆宏代码识别逻辑
增加-output-json参数,输出结果以JSON形式输出

必看使用技巧:如何将瑞星反恶意软件引擎扫描器添加到右键菜单
呱澎澎 - 2016-6-1 15:20:00
下载看看。
红雨2012 - 2016-6-1 15:32:00
一次打开更新恶软签名库的时候 显示错误=0,然后闪退,win10  32位专业版系统
dg1vg4 - 2016-6-1 15:44:00
同报告闪退现象,windows10 64位家庭版,附:下载的过程中被卡巴斯基和360云报了毒。
最硬的石头 - 2016-6-1 15:59:00
带命令启动才行,0应该表示成功
cjyrs - 2016-6-1 16:10:00
我对整个C盘进行扫描,扫描时间很长,显示已达到最大扫描文件数,啥意思,有文件数限制?win7-64
cjyrs - 2016-6-1 16:48:00
shiyu#rising.com.cn 发的邮件被退回
cjyrs - 2016-6-1 16:52:00
我直接在附件中加入图片,后来压缩后就可以了
CFBIQM - 2016-6-1 17:46:00
:kaka6:咋感觉这玩意这么鸡肋,用起来不大方便,后续应该考虑下图形界面。
其次这个最大文件数是个什么鬼第一次用就非得下一群小文件?直接整合好了放在包里不行吗?
而且处理XX-XX显示错误码0,难道没法改成成功?吓得我以为他没成。。。。。
把那个发布序号也改下吧,改成长的。
不过支持中文文件夹名还是比较满意的
立刻回答 - 2016-6-1 20:41:00
病毒库40MB,如果带在包里不方便,还不如第一次使用的时候自动下载
格兰地亚 - 2016-6-2 14:16:00
看到要下載東東,明顯不高興了,沒有外網功能的路過。
游侠双子星 - 2016-6-2 15:37:00
我也来感觉一下
游侠双子星 - 2016-6-2 15:42:00
秒退是什么问题
:kaka6:
昏晓 - 2016-6-4 12:28:00
:kaka12: 支持一下!!!!!!!!!!!!
麦青儿 - 2016-6-14 15:07:00
秒退的,请看 如何将瑞星反恶意软件引擎扫描器添加到右键菜单使用 http://bbs.ikaka.com/showtopic-9335904.aspx
麦青儿 - 2016-6-14 15:45:00


引用:
原帖由 cjyrs 于 2016-6-1 16:48:00 发表
shiyu#rising.com.cn 发的邮件被退回


#用@替代
cjyrs - 2016-6-15 9:18:00
经测试,后来的更新包,没有出现先前包所出现的扫描文件数的限制情况。
314698711@qq.com - 2016-7-12 13:48:00
要是像NOD32扫描器那样还有清除能力就更好了 不要只能查毒不能杀毒
麦青儿 - 2016-8-10 18:43:00
2016.08.10 更新

改用多线程模式,加快扫描速度。默认为4线程,可通过参数 -workers=? 来调节,最大线程数8
增加了是否使用简单云引擎的开关。默认开启,可通过参数 -!cloud 关闭
增加了RDM+引擎预览版,性能方面未做优化,默认开启,可通过参数 -!rdm+ 关闭
增加了UPX全系列脱壳,主要用来检测Linux(X86/MIPS/ARM)上加壳后恶意软件
增加了WSF格式解析
调整了混淆宏代码识别逻辑
增加-output-json参数,输出结果以JSON形式输出
过客2007 - 2016-8-10 19:10:00



哎,有好东西不早说...


1、能不能支持右键创建快捷方式?将需要扫描的文件直接拖拽到快捷方式上面,然后就扫描?


2、能不能支持pause命令,扫描完之后暂停
昏晓 - 2016-8-11 9:58:00
:kaka12: 先支持,后下载!
麦青儿 - 2016-8-11 19:07:00
能啊,仔细看帖:

如何将瑞星反恶意软件引擎扫描器添加到右键菜单
http://bbs.ikaka.com/showtopic-9335904.aspx
kgbcccp10972 - 2016-8-13 21:14:00
悄悄问一下 新引擎不是完整库? 有的病毒包 在断网下比v17检出率要低一些 而且有时候有当天查出很多转天再杀杀出来变少了 rdm+将来仍然断网无效吗?
billgates001 - 2016-8-16 21:05:00
不错
benpao37 - 2016-10-16 21:50:00
支持一下,希望早日加入到杀毒软件中。
光明圣火 - 2021-12-24 0:32:00
请问瑞星v17现在的rdm是基于这个引擎么?
麦青儿 - 2021-12-24 14:43:00
RDM+ 的一部分已经放到V17上,比如 针对Windows程序的本地机器学习检测,这个就是
1
查看完整版本: RDM+ 来了! 瑞星反恶意软件引擎命令行扫描器社区交流版(更新日期:2016.08.10)