Přeskočit na obsah

Prohledávání z příkazového řádku

Počítač můžete prohledat pomocí nástroje příkazového řádku.

Nástroj příkazového řádku se nainstaluje automaticky při instalaci nástroje Sophos Endpoint.

Nástroj je nainstalován v Program Files/Sophos/Endpoint Defense a nazývá se sophosinterceptxcli.exe.

Nástroj umožňuje provádět následující úkony:

  • Spusťte prohledávání systému. Jedná se o prohledávání celého počítače.
  • Spusťte uživatelské prohledávání. Jedná se o prohledávání souborů nebo složek určených uživatelem.

Na této stránce jsou uvedeny příkazy a možnosti, které můžete použít.

Příkazy

Příkazy jsou následující.

prohledávání

Příkaz „scan“ spustí prohledávání zařízení a zobrazí dialogové okno průběhu prohledávání. Výsledky jsou zobrazeny v uživatelském rozhraní nástroje Sophos Endpoint a veškeré zjištěné hrozby jsou hlášeny společnosti Sophos Central.

Chcete-li spustit prohledávání, zadejte příkaz v následujícím formátu:

scan <options> <targets>

Podrobné informace o možnostech prohledávání naleznete v části Možnosti.

Podrobnosti o tom, jak určit cíle, naleznete v části Targets.

Soubory, ke kterým může naskenovaný dokument získat přístup, závisí na právech, se kterými se prohledávání spouští:

  • Spustí se prohledávání systému s oprávněními místního systémového procesu. Nemůže přistupovat k souborům, jako jsou soubory šifrované pomocí aplikace Microsoft EFS, protože místní systémový proces nemůže přistupovat ke klíčům uživatele.

  • Uživatelské prohledávání (prohledávání určitých souborů nebo složek) probíhá s vašimi uživatelskými právy, takže může prohledat pouze soubory, ke kterým máte přístup.

Uživatelské prohledávání nekontroluje soubory, které jsou vyloučeny zásadami nebo globálními výjimkami stanovenými v systému Sophos Central.

Prohledávání používá ochranu Live Protection, která kontroluje podezřelé soubory na nejnovější hrozby dle informací od společnosti SophosLabs. Pokud je ochrana Live Protection vypnutá nebo je zařízení odpojeno od sítě, je prohledávání méně účinné.

nápověda

Příkaz „help“ zobrazí seznam dostupných příkazů.

help <command> zobrazí všechny možnosti dostupné pro daný příkaz.

Možnosti

Zde jsou možnosti, které můžete použít s příkazem scan. Platí pro všechny cíle (položky ke prohledávání), které určíte. Platí bez ohledu na to, kam je do příkazového řádku zadáváte.

Volitelné Popis
Rozbalit archivy

--expand_archives

Prohledávání rozbalí archivy a naskenuje obsah.

No user interface (Žádné uživatelské rozhraní)

--noui

Není zobrazeno žádné uživatelské rozhraní. Všechny detekce jsou zapsány do stdout. Nástroj se nezavře, dokud se prohledávání nedokončí.

Verbose output (Podrobný výstup)

--verbose

Platí pouze tehdy, je-li zadáno --noui. Zapisuje informace o každém prohledaném souboru (název souboru a stav čištění nebo detekce) do stdout.

System scan (Prohledávání systému)

--system

Ve výchozím nastavení (nebo je-li také specifikováno --full) prohledá všechny místní soubory v aktuálním zařízení a provádí další činnosti prohledávání systému, jako je například prohledávání hlavního spouštěcího záznamu (MBR) a prohledávání paměti.

Je-li zadáno --quick společně s  --system, bude systém prohledávat pouze běžně používané soubory, včetně obrazových souborů pro spuštěné a nedávno spuštěné procesy, a programy nakonfigurované tak, aby se spouštěly automaticky při spuštění systému. Také prohledává MBR a paměť.

Pokud používáte --system, nezadávejte žádné cíle.

Systém skenuje vždy s právy místního systémového procesu. Nemůže přistupovat k položkám, jako jsou soubory šifrované pomocí aplikace Microsoft EFS, protože místní systémový proces nemá přístup ke klíčům uživatele.

Targets {#scan-targets} (Cíle)

Cíle jsou věci, které chcete prohledat. Cíle mohou být diskové jednotky, složky nebo soubory.

Chcete-li například prohledat jednotku, zadejte jedno velké nebo malé písmeno, dvojtečku a zpětné lomítko, například C:\

Poznámka

Musíte zahrnout zpětné lomítko. Pokud tak neučiníte, prohledávání zkontroluje pouze soubory v aktuální složce na této jednotce. Pokud zadáte C:, obvykle se jedná o složku, ve které používáte nástroj příkazového řádku.

Chcete-li prohledat určitou složku nebo soubor, zadejte úplnou nebo částečnou cestu. Prohledávání zachází s cestami složek a souborů jako se složkou, ve které jste spustili nástroj příkazového řádku.

Můžete použít oddělovače cest typu DOS nebo Unix. Můžete také použít cesty UNC.

Zástupné znaky

Zástupné znaky můžete použít v názvech složek a cest, ale nikoliv v názvech jednotek.

Zástupný znak Popis
* (hvězdička) Slouží k přiřazení 0 nebo více znaků
? Slouží k přiřazení jednoho znaku

Viz Zástupné znaky MS-DOS a Windows.

Prohledávání může rozbalit zástupné znaky před kontrolou složek a souborů. To platí pouze v případě, že je zástupný znak v posledním prvku cesty. Prohledávání tak rozbalí C:/Test/Folder/F*le, ale ne C:/Test/F*lder/File.

Chybové kódy

Nástroj příkazového řádku může vrátit následující chybové kódy:

Kód Popis
0 Byly úspěšně prohledány všechny soubory a nebyl nalezen žádný malware
1 Chyba během zpracování příkazu
2 Neočekávaná chyba při nastavení nástroje pro příkazový řádek
3 V jednom nebo více souborech byla zjištěna hrozba
4 Při prohledávání došlo k chybě u jednoho nebo více souborů
5 Jeden nebo více souborů bylo zašifrováno
6 Jeden nebo více souborů má nepodporovaný formát
7 Jeden nebo více souborů bylo nedostupných

Pokud dojde k více chybám, je vrácen nejzávažnější chybový kód. Kódy jsou zobrazeny v pořadí podle výše uvedené závažnosti, přičemž nejvyšší číslo udává nejvyšší závažnost.

Nástroj Intercept X CLI nevrací další chybové kódy typu používaného u dřívějších produktů Sophos Endpoint.

K prohledávání spuštěné uživatelem (nikoli systémovým prohledáváním) je do konzoly zapisován další výstup. Pro každou kategorii je uváděn počet dotčených souborů a jejich seznam.

Výsledky ve formátu JSON

Pomocí možnosti --json můžete na konci prohledávání odeslat na výstup výsledky ve formátu JSON.

Pokud nedojde k závažné chybě (kód chyby 1 nebo 2), je do stdout zapsán pouze objekt JSON na podporu skriptování.

Výstupní formát JSON

Je-li zadána možnost --json, je zapsán objekt JSON, který poskytuje stejnou úroveň detailů jako výstup čitelný člověkem, který je standardně poskytován s --noui.

Pro kontrolu uživatele jsou vždy k dispozici následující klávesy, a to i v případě, že pod nimi nejsou uvedeny žádné soubory, které podporují zjistitelnost:

{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}

K prohledávání systému jsou k dispozici pouze klávesy typu nejvyšší úrovně a souhrnu, kde typ je "fullSystem" nebo "quickSystem".

Pokud je pro uživatelské prohledávání také zadáno --verbose, je uveden další klíč scannedFiles, který obsahuje seznam všech prohledaných souborů, s výjimkou těch, které byly nepřístupné.

`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`