WinWebMail使用Kill实现邮件防毒功能的一个问题

    在命令行方式下运行6.0版的Inocmd32.exe文件，显示如下：

   Usage:Inocmd32.exe [ -options ] file|directory|drive ...
-options:
        : MOD <mod>  Scan mode
              <mod>  can be one of: Secure or Reviewer (default Secure)
        : ACT <action>  Infected file action
              <action>  can be one of: Cure, Rename, Delete or Move
        : EXE  Specified files
               (based on the InoculateIT 'Specified' extension list)
        : EXC  Exclude files
               (based on the InoculateIT 'Exclude' extension list)
        : ARC  Scan archive files
        : NEX  Detect compressed files by content, not file extension
        : NOS  No subdirectory traverse
        : FIL:<pattern>  Only scan files that match <pattern> (shell wildcard)
        : SCA <action>  Special Cure Action (ACT must be set to Cure)
              <action> can be one of: CB (Copy Before),
                RF (Rename if cure fails) or MF (Move if cure fails)
        : MCA <action>  Macro Cure Action
              <action> can be either: RA (remove all) or RI (remove infected)
        : SPM <mode>  Special Mode
              <mode> can only be: H (heuristics)
        : SFI  Stop at first infection in archive
        : SMF  Scan migrated files
        : INC  Incremental scan
        : SRF  Skip regular file scanning of archives
        : BOO  Boot sector scan
        : MEM  Scan memory (currently running programs)
        : LIS:<file>  Create scan report file <file>
        : APP:<file>  Append scan report to file <file>
        : VER  Verbose mode
        : QUI  Count of scanned files rather than list
        : SIG  Display signature version numbers
        : SIG:<dir>  Display signature version numbers of
                     engine located in <dir>
        : HEL or ?  Display this help
file|directory|drive ...: Specify at least one file, directory or drive to scan
InoculateIT Signature version:  vet.dat  30.07.3641  2007/05/18
 Vet Signature version:  vet.dat  30.07.3641  2007/05/18

    在命令行方式下运行7.1版的Inocmd32.exe文件，显示如下：

InoculateIT 引擎版本:                 30.07.00    2007-03-29
InoculateIT 特征码版本:  vet.dat     30.07.3641  2007-05-18

Vet         引擎版本:                 30.07.00    2007-03-29
Vet         特征码版本:  vet.dat     30.07.3641  2007-05-18

   用法:Inocmd32.exe [ -options ] file|directory||驱动器 ...
-options:
    ENG <engine>
        <engine>  可以是以下之一: Ino 或 Vet
    MOD <mod>  扫描模式
        <mod>  可以是以下之一: 安全或评论 (默认为安全模式)
    ACT <action>  对受感染文件的操作
        <action>  可以是以下之一: 报告、修复、重命名、删除或移动
    EXE  指定的文件
         (基于 Local Scanner 的 '指定' 扩展名列表)
    EXC  排除的文件
         (基于 Local Scanner 的 '排除' 扩展名列表)
    ARC  扫描存档文件
    NEX  按内容而不是按文件扩展名删除压缩文件
    NOS  不遍历子目录
    FIL:<pattern>  仅扫描同 <pattern> (shell 通配符) 匹配的文件
    SCA <action>  特殊修复操作 (ACT 必须被设为修复操作)
        <action> 可以是以下之一: CB (首先复制)、
        RF (修复失败则重命名) 或 MF (修复失败则移动)
    MCA <action>  宏修复操作
        <action> 可以是以下之一: RA (全部删除) 或 RI (删除被感染的宏)
    SPM <mode>  特殊模式
        <mode> 可以是: H (启发式)
    SFI  在存档包中检测到首个感染文件时停止
    SMF  扫描迁移的文件
    SRF  跳过对存档包的常规文件扫描
    ARF  将扩展名过滤器应用于存档内容
    BOO  启动扇区扫描
    MEM  扫描内存 (当前运行的程序)
    LIS:<file>  创建扫描报告文件 <file>
    APP:<file>  将扫描报告文件附加到 <file> 文件之后
    SYS  启用系统修复功能
         对找到的任何已感染的并且同系统修复关联的文件，
         调用系统修复功能。有关特定病毒的详细信息，
         请访问 www.ca.com 上的病毒百科全书
         同系统修复的可行性有关。在某些时候请多加注意
         系统修复需要重启才能生效。
    VER  详细模式
    COU:<n> 发送消息，每 <n> 个扫描的文件
    COU  每扫描 1000 个文件给出一条消息
    SIG  显示特征码版本号
    SIG:<dir>  显示位于 <dir> 下的引擎的
               特征码版本号
    HEL 或 ?  显示本帮助

文件|目录|驱动器 ...:
    请至少指定一个要扫描的文件、目录或驱动器

    这两个版本中相应命令行开关项的解释完全一致，看来也不是配置文件的问题。这样看来应该是Kill的问题。上bbs.5dmail.net问了一下，WinWebMail是通过分析Kill命令行引擎的杀毒日志来识别邮件中的病毒。看来可能是Kill改变了杀毒日志的保存格式，导致WinWebMail无法正确工作了。

    所以目前对于WinWebMail而言，只能和Kill6.0版配合实现邮件防毒功能，不能和Kill7.1版配合实现。

   上次分析发现由于Kill6.0与7.1版命令行引擎杀毒日志的保存格式不一样造成WinWebMail无法正确识别，从而无法实现邮件防毒功能。但是仔细分析了这两个版本的所有日志文件，发现并没有命令行引擎的杀毒日志。那么有可能WinWebMail并不是分析日志文件，而是直接分析命令行引擎杀毒输出结果来实现邮件防毒功能。

Total Files Scanned:             1
Total Viruses Found:             1
Total Infected Files Found:      1
Scan Mode:                       Secure