Zum Inhalt

Scannen über die Befehlszeile

Sie können den Computer mit unserem Befehlszeilen-Tool scannen.

Das Befehlszeilen-Tool wird automatisch installiert, wenn Sie Sophos Endpoint installieren.

Das Tool ist in Program Files/Sophos/Endpoint Defense installiert und heißt sophosinterceptxcli.exe.

Mit dem Tool können Sie Folgendes tun:

  • Führen Sie einen Systemscan aus. Dies ist ein Scan des gesamten Computers.
  • Führen Sie einen Benutzerscan aus. Dies ist ein Scan von Dateien oder Ordnern, die vom Benutzer festgelegt werden.

Auf dieser Seite werden die Befehle und Optionen aufgelistet, die Sie verwenden können.

Befehle

Die Befehle lauten wie folgt:

scan

Der Scan-Befehl startet einen Scan des Geräts und zeigt ein Dialogfeld zum Scanfortschritt an. Die Ergebnisse werden in der Sophos Endpoint-Benutzeroberfläche angezeigt und alle erkannten Bedrohungen werden an Sophos Central gemeldet.

Um einen Scan auszuführen, geben Sie einen Befehl im folgenden Format ein:

scan <options> <targets>

Für Details zu den Scan-Optionen siehe Optionen.

Für Details zu Festlegen von Zielen siehe Ziele.

Dateien, auf die ein Scan zugreifen kann, hängen von den Rechten ab, mit denen der Scan ausgeführt wird:

  • Ein Systemscan wird mit den Prozessrechten des lokalen Systems ausgeführt. Der Scan kann nicht auf Dateien, wie Microsoft EFS-verschlüsselte Dateien, zugreifen, da der lokale Systemprozess nicht auf die Schlüssel eines Benutzers zugreifen kann.

  • Ein Benutzerscan (ein Scan bestimmter Dateien oder Ordner) wird mit Ihren Benutzerrechten ausgeführt, sodass nur Dateien gescannt werden können, auf die Sie zugreifen können.

Ein Benutzerscan prüft keine Dateien, die durch Richtlinien oder globale Ausschlüsse, die in Sophos Central festgelegt sind, ausgeschlossen werden.

Scans verwenden Live Protection zur Prüfung verdächtiger Dateien anhand neuester Bedrohungsdaten der SophosLabs. Wenn Live Protection ausgeschaltet ist oder das Gerät vom Netzwerk getrennt ist, ist der Scan weniger effektiv.

help

Der Hilfebefehl zeigt eine Liste der verfügbaren Befehle an.

help <command> zeigt alle für den Befehl verfügbaren Optionen an.

Optionen

Hier sind die Optionen, die Sie mit dem Scan-Befehl verwenden können. Sie gelten für alle Ziele (zu scannenden Elemente), die Sie angeben. Sie gelten unabhängig davon, wo Sie sie in die Befehlszeile eingeben.

Option Beschreibung
Archive entpacken

--expand_archives

Der Scan entpackt Archive und scannt deren Inhalt.

Keine Benutzeroberfläche

--noui

Es wird keine Benutzeroberfläche angezeigt. Alle Erkennungen werden an stdout geschrieben. Das Tool wird erst geschlossen, wenn der Scan beendet ist.

Ausführliche Ausgabe

--verbose

Nur gültig, wenn --noui angegeben ist. Schreibt Informationen über jede gescannte Datei (den Dateinamen und den Status „Bereinigt“ oder „Erkannt“) in stdout.

Systemscan

--system

Scannt standardmäßig (oder wenn auch --full angegeben ist) alle lokalen Dateien auf dem aktuellen Gerät und führt andere Systemscan-Aktivitäten wie MBR (Master Boot Record)- und Speicherscans durch.

Wenn --quick zusammen mit --system angegeben ist, scannt der Systemscan nur häufig verwendete Dateien, einschließlich der Bilddateien für laufende und kürzlich ausgeführte Prozesse und Programme sowie Programme, die zur automatischen Ausführung beim Start konfiguriert sind. Außerdem werden MBR und Speicher gescannt.

Wenn Sie --system verwenden, geben Sie keine Ziele an.

Systemscans werden immer mit den Rechten des lokalen Systemprozesses ausgeführt. Sie können nicht auf Elemente wie den Inhalt von Microsoft EFS-verschlüsselten Dateien zugreifen, da der lokale Systemprozess keinen Zugriff auf die Benutzerschlüssel hat.

Ziele

Ziele, die Sie scannen möchten. Ziele können Laufwerke, Ordner oder Dateien sein.

Um ein Laufwerk zu scannen, geben Sie einen einzelnen Groß- oder Kleinbuchstaben gefolgt von einem Doppelpunkt und einem umgekehrten Schrägstrich ein, z. B. C:\

Hinweis

Sie müssen einen umgekehrten Schrägstrich eingeben. Wenn Sie dies nicht tun, prüft der Scan nur Dateien im aktuellen Ordner auf diesem Laufwerk. Wenn Sie C: angeben, ist dies in der Regel der Ordner, in dem Sie das Befehlszeilen-Tool ausführen.

Um einen bestimmten Ordner oder eine bestimmte Datei zu scannen, geben Sie einen vollständigen Pfad oder Teilpfad ein. Der Scan behandelt Ordner- und Dateipfade relativ zu dem Ordner, in dem Sie das Befehlszeilen-Tool gestartet haben.

Sie können Pfad-Trennzeichen im DOS- oder Unix-Stil verwenden. Sie können auch UNC-Pfade verwenden.

Wildcards

Sie können Platzhalter in Ordner- und Pfadnamen verwenden, jedoch nicht in Laufwerksnamen.

Platzhalter Beschreibung
* (Sternchen) Entspricht mindestens 0 Zeichen
? Entspricht einem einzelnen Zeichen

Siehe MS-DOS- und Windows-Platzhalterzeichen.

Der Scan kann Platzhalter erweitern, bevor er nach Ordnern und Dateien sucht. Dies gilt nur, wenn sich der Platzhalter im letzten Element des Pfades befindet. So erweitert sich der Scan C:/Test/Folder/F*le, aber nicht C:/Test/F*lder/File.

Fehlercodes

Das Befehlszeilen-Tool kann folgende Fehlercodes zurückgeben:

Code Beschreibung
0 Alle Dateien wurden erfolgreich gescannt und es wurde keine Malware gefunden
1 Fehler bei der Befehlsverarbeitung
2 Unerwarteter Fehler bei der Einrichtung des Befehlszeilen-Tools
3 In einer oder mehreren Dateien wurde eine Bedrohung erkannt
4 Bei mindestens einer Datei ist während des Scans ein Fehler aufgetreten
5 Mindestens eine Datei war verschlüsselt
6 Mindestens eine Datei hat ein nicht unterstütztes Format
7 Auf mindestens eine Datei konnte nicht zugegriffen werden

Wenn mehrere Fehler auftreten, wird der schwerwiegendste Fehlercode ausgegeben. Die Codes werden in der Reihenfolge des Schweregrads oben angezeigt, wobei die höchste Zahl den höchsten Schweregrad angibt.

Die Befehlszeilenschnittstelle (CLI-Tool) von Intercept X gibt keine weiteren Fehlercodes des Typs zurück, der von früheren Sophos-Endpoint-Produkten verwendet wurde.

Für einen Scan, der von einem Benutzer gestartet wurde (kein Systemscan), schreiben wir eine zusätzliche Ausgabe auf die Konsole. Für jede Kategorie wird die Anzahl der betroffenen Dateien angezeigt und aufgelistet.

Ergebnis im JSON-Format

Verwenden Sie die --json-Option, um die Ergebnisse am Ende des Scans im JSON-Format auszugeben.

Wenn kein schwerwiegender Fehler auftritt (Fehlercode 1 oder 2), wird nur ein JSON-Objekt zur Unterstützung von Skripten an stdout geschrieben.

JSON-Ausgabeformat

Wenn --json angegeben ist, wird ein JSON-Objekt mit demselben Detailgrad wie die Ausgabe geschrieben, die standardmäßig mit --noui bereitgestellt wird.

Um die Auffindbarkeit zu erleichtern, werden für einen Benutzerscan immer die folgenden Schlüssel bereitgestellt, auch wenn keine Dateien darunter aufgeführt sind:

{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}

Für einen Systemscan werden nur die Typ- und Zusammenfassungsschlüssel der obersten Ebene vom Typ „fullSystem“ oder „quickSystem“ bereitgestellt.

Wenn für einen Benutzerscan auch --verbose angegeben ist, ist ein zusätzlicher scannedFiles-Schlüssel enthalten, der alle gescannten Dateien auflistet, mit Ausnahme der Dateien, auf die nicht zugegriffen werden konnte.

`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`