Prohledávání z příkazového řádku
Počítač můžete prohledat pomocí nástroje příkazového řádku.
Nástroj příkazového řádku se nainstaluje automaticky při instalaci nástroje Sophos Endpoint.
Nástroj je nainstalován v Program Files/Sophos/Endpoint Defense
a nazývá se sophosinterceptxcli.exe
.
Nástroj umožňuje provádět následující úkony:
- Spusťte prohledávání systému. Jedná se o prohledávání celého počítače.
- Spusťte uživatelské prohledávání. Jedná se o prohledávání souborů nebo složek určených uživatelem.
Na této stránce jsou uvedeny příkazy a možnosti, které můžete použít.
Příkazy
Příkazy jsou následující.
prohledávání
Příkaz „scan“ spustí prohledávání zařízení a zobrazí dialogové okno průběhu prohledávání. Výsledky jsou zobrazeny v uživatelském rozhraní nástroje Sophos Endpoint a veškeré zjištěné hrozby jsou hlášeny společnosti Sophos Central.
Chcete-li spustit prohledávání, zadejte příkaz v následujícím formátu:
scan <options> <targets>
Podrobné informace o možnostech prohledávání naleznete v části Možnosti.
Podrobnosti o tom, jak určit cíle, naleznete v části Targets.
Soubory, ke kterým může naskenovaný dokument získat přístup, závisí na právech, se kterými se prohledávání spouští:
-
Spustí se prohledávání systému s oprávněními místního systémového procesu. Nemůže přistupovat k souborům, jako jsou soubory šifrované pomocí aplikace Microsoft EFS, protože místní systémový proces nemůže přistupovat ke klíčům uživatele.
-
Uživatelské prohledávání (prohledávání určitých souborů nebo složek) probíhá s vašimi uživatelskými právy, takže může prohledat pouze soubory, ke kterým máte přístup.
Uživatelské prohledávání nekontroluje soubory, které jsou vyloučeny zásadami nebo globálními výjimkami stanovenými v systému Sophos Central.
Prohledávání používá ochranu Live Protection, která kontroluje podezřelé soubory na nejnovější hrozby dle informací od společnosti SophosLabs. Pokud je ochrana Live Protection vypnutá nebo je zařízení odpojeno od sítě, je prohledávání méně účinné.
nápověda
Příkaz „help“ zobrazí seznam dostupných příkazů.
help <command>
zobrazí všechny možnosti dostupné pro daný příkaz.
Možnosti
Zde jsou možnosti, které můžete použít s příkazem scan. Platí pro všechny cíle (položky ke prohledávání), které určíte. Platí bez ohledu na to, kam je do příkazového řádku zadáváte.
Volitelné | Popis |
---|---|
Rozbalit archivy |
Prohledávání rozbalí archivy a naskenuje obsah. |
No user interface (Žádné uživatelské rozhraní) |
Není zobrazeno žádné uživatelské rozhraní. Všechny detekce jsou zapsány do |
Verbose output (Podrobný výstup) |
Platí pouze tehdy, je-li zadáno |
System scan (Prohledávání systému) |
Ve výchozím nastavení (nebo je-li také specifikováno Je-li zadáno Pokud používáte Systém skenuje vždy s právy místního systémového procesu. Nemůže přistupovat k položkám, jako jsou soubory šifrované pomocí aplikace Microsoft EFS, protože místní systémový proces nemá přístup ke klíčům uživatele. |
Targets {#scan-targets} (Cíle)
Cíle jsou věci, které chcete prohledat. Cíle mohou být diskové jednotky, složky nebo soubory.
Chcete-li například prohledat jednotku, zadejte jedno velké nebo malé písmeno, dvojtečku a zpětné lomítko, například C:\
Poznámka
Musíte zahrnout zpětné lomítko. Pokud tak neučiníte, prohledávání zkontroluje pouze soubory v aktuální složce na této jednotce. Pokud zadáte C:
, obvykle se jedná o složku, ve které používáte nástroj příkazového řádku.
Chcete-li prohledat určitou složku nebo soubor, zadejte úplnou nebo částečnou cestu. Prohledávání zachází s cestami složek a souborů jako se složkou, ve které jste spustili nástroj příkazového řádku.
Můžete použít oddělovače cest typu DOS nebo Unix. Můžete také použít cesty UNC.
Zástupné znaky
Zástupné znaky můžete použít v názvech složek a cest, ale nikoliv v názvech jednotek.
Zástupný znak | Popis |
---|---|
* (hvězdička) | Slouží k přiřazení 0 nebo více znaků |
? | Slouží k přiřazení jednoho znaku |
Viz Zástupné znaky MS-DOS a Windows.
Prohledávání může rozbalit zástupné znaky před kontrolou složek a souborů. To platí pouze v případě, že je zástupný znak v posledním prvku cesty. Prohledávání tak rozbalí C:/Test/Folder/F*le
, ale ne C:/Test/F*lder/File
.
Chybové kódy
Nástroj příkazového řádku může vrátit následující chybové kódy:
Kód | Popis |
---|---|
0 | Byly úspěšně prohledány všechny soubory a nebyl nalezen žádný malware |
1 | Chyba během zpracování příkazu |
2 | Neočekávaná chyba při nastavení nástroje pro příkazový řádek |
3 | V jednom nebo více souborech byla zjištěna hrozba |
4 | Při prohledávání došlo k chybě u jednoho nebo více souborů |
5 | Jeden nebo více souborů bylo zašifrováno |
6 | Jeden nebo více souborů má nepodporovaný formát |
7 | Jeden nebo více souborů bylo nedostupných |
Pokud dojde k více chybám, je vrácen nejzávažnější chybový kód. Kódy jsou zobrazeny v pořadí podle výše uvedené závažnosti, přičemž nejvyšší číslo udává nejvyšší závažnost.
Nástroj Intercept X CLI nevrací další chybové kódy typu používaného u dřívějších produktů Sophos Endpoint.
K prohledávání spuštěné uživatelem (nikoli systémovým prohledáváním) je do konzoly zapisován další výstup. Pro každou kategorii je uváděn počet dotčených souborů a jejich seznam.
Výsledky ve formátu JSON
Pomocí možnosti --json
můžete na konci prohledávání odeslat na výstup výsledky ve formátu JSON.
Pokud nedojde k závažné chybě (kód chyby 1 nebo 2), je do stdout
zapsán pouze objekt JSON na podporu skriptování.
Výstupní formát JSON
Je-li zadána možnost --json
, je zapsán objekt JSON, který poskytuje stejnou úroveň detailů jako výstup čitelný člověkem, který je standardně poskytován s --noui
.
Pro kontrolu uživatele jsou vždy k dispozici následující klávesy, a to i v případě, že pod nimi nejsou uvedeny žádné soubory, které podporují zjistitelnost:
{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}
K prohledávání systému jsou k dispozici pouze klávesy typu nejvyšší úrovně a souhrnu, kde typ je "fullSystem" nebo "quickSystem".
Pokud je pro uživatelské prohledávání také zadáno --verbose
, je uveden další klíč scannedFiles
, který obsahuje seznam všech prohledaných souborů, s výjimkou těch, které byly nepřístupné.
`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`