Scannen über die Befehlszeile
Sie können den Computer mit unserem Befehlszeilen-Tool scannen.
Das Befehlszeilen-Tool wird automatisch installiert, wenn Sie Sophos Endpoint installieren.
Das Tool ist in Program Files/Sophos/Endpoint Defense
installiert und heißt sophosinterceptxcli.exe
.
Mit dem Tool können Sie Folgendes tun:
- Führen Sie einen Systemscan aus. Dies ist ein Scan des gesamten Computers.
- Führen Sie einen Benutzerscan aus. Dies ist ein Scan von Dateien oder Ordnern, die vom Benutzer festgelegt werden.
Auf dieser Seite werden die Befehle und Optionen aufgelistet, die Sie verwenden können.
Befehle
Die Befehle lauten wie folgt:
scan
Der Scan-Befehl startet einen Scan des Geräts und zeigt ein Dialogfeld zum Scanfortschritt an. Die Ergebnisse werden in der Sophos Endpoint-Benutzeroberfläche angezeigt und alle erkannten Bedrohungen werden an Sophos Central gemeldet.
Um einen Scan auszuführen, geben Sie einen Befehl im folgenden Format ein:
scan <options> <targets>
Für Details zu den Scan-Optionen siehe Optionen.
Für Details zu Festlegen von Zielen siehe Ziele.
Dateien, auf die ein Scan zugreifen kann, hängen von den Rechten ab, mit denen der Scan ausgeführt wird:
-
Ein Systemscan wird mit den Prozessrechten des lokalen Systems ausgeführt. Der Scan kann nicht auf Dateien, wie Microsoft EFS-verschlüsselte Dateien, zugreifen, da der lokale Systemprozess nicht auf die Schlüssel eines Benutzers zugreifen kann.
-
Ein Benutzerscan (ein Scan bestimmter Dateien oder Ordner) wird mit Ihren Benutzerrechten ausgeführt, sodass nur Dateien gescannt werden können, auf die Sie zugreifen können.
Ein Benutzerscan prüft keine Dateien, die durch Richtlinien oder globale Ausschlüsse, die in Sophos Central festgelegt sind, ausgeschlossen werden.
Scans verwenden Live Protection zur Prüfung verdächtiger Dateien anhand neuester Bedrohungsdaten der SophosLabs. Wenn Live Protection ausgeschaltet ist oder das Gerät vom Netzwerk getrennt ist, ist der Scan weniger effektiv.
help
Der Hilfebefehl zeigt eine Liste der verfügbaren Befehle an.
help <command>
zeigt alle für den Befehl verfügbaren Optionen an.
Optionen
Hier sind die Optionen, die Sie mit dem Scan-Befehl verwenden können. Sie gelten für alle Ziele (zu scannenden Elemente), die Sie angeben. Sie gelten unabhängig davon, wo Sie sie in die Befehlszeile eingeben.
Option | Beschreibung |
---|---|
Archive entpacken |
Der Scan entpackt Archive und scannt deren Inhalt. |
Keine Benutzeroberfläche |
Es wird keine Benutzeroberfläche angezeigt. Alle Erkennungen werden an |
Ausführliche Ausgabe |
Nur gültig, wenn |
Systemscan |
Scannt standardmäßig (oder wenn auch Wenn Wenn Sie Systemscans werden immer mit den Rechten des lokalen Systemprozesses ausgeführt. Sie können nicht auf Elemente wie den Inhalt von Microsoft EFS-verschlüsselten Dateien zugreifen, da der lokale Systemprozess keinen Zugriff auf die Benutzerschlüssel hat. |
Ziele
Ziele, die Sie scannen möchten. Ziele können Laufwerke, Ordner oder Dateien sein.
Um ein Laufwerk zu scannen, geben Sie einen einzelnen Groß- oder Kleinbuchstaben gefolgt von einem Doppelpunkt und einem umgekehrten Schrägstrich ein, z. B. C:\
Hinweis
Sie müssen einen umgekehrten Schrägstrich eingeben. Wenn Sie dies nicht tun, prüft der Scan nur Dateien im aktuellen Ordner auf diesem Laufwerk. Wenn Sie C:
angeben, ist dies in der Regel der Ordner, in dem Sie das Befehlszeilen-Tool ausführen.
Um einen bestimmten Ordner oder eine bestimmte Datei zu scannen, geben Sie einen vollständigen Pfad oder Teilpfad ein. Der Scan behandelt Ordner- und Dateipfade relativ zu dem Ordner, in dem Sie das Befehlszeilen-Tool gestartet haben.
Sie können Pfad-Trennzeichen im DOS- oder Unix-Stil verwenden. Sie können auch UNC-Pfade verwenden.
Wildcards
Sie können Platzhalter in Ordner- und Pfadnamen verwenden, jedoch nicht in Laufwerksnamen.
Platzhalter | Beschreibung |
---|---|
* (Sternchen) | Entspricht mindestens 0 Zeichen |
? | Entspricht einem einzelnen Zeichen |
Siehe MS-DOS- und Windows-Platzhalterzeichen.
Der Scan kann Platzhalter erweitern, bevor er nach Ordnern und Dateien sucht. Dies gilt nur, wenn sich der Platzhalter im letzten Element des Pfades befindet. So erweitert sich der Scan C:/Test/Folder/F*le
, aber nicht C:/Test/F*lder/File
.
Fehlercodes
Das Befehlszeilen-Tool kann folgende Fehlercodes zurückgeben:
Code | Beschreibung |
---|---|
0 | Alle Dateien wurden erfolgreich gescannt und es wurde keine Malware gefunden |
1 | Fehler bei der Befehlsverarbeitung |
2 | Unerwarteter Fehler bei der Einrichtung des Befehlszeilen-Tools |
3 | In einer oder mehreren Dateien wurde eine Bedrohung erkannt |
4 | Bei mindestens einer Datei ist während des Scans ein Fehler aufgetreten |
5 | Mindestens eine Datei war verschlüsselt |
6 | Mindestens eine Datei hat ein nicht unterstütztes Format |
7 | Auf mindestens eine Datei konnte nicht zugegriffen werden |
Wenn mehrere Fehler auftreten, wird der schwerwiegendste Fehlercode ausgegeben. Die Codes werden in der Reihenfolge des Schweregrads oben angezeigt, wobei die höchste Zahl den höchsten Schweregrad angibt.
Die Befehlszeilenschnittstelle (CLI-Tool) von Intercept X gibt keine weiteren Fehlercodes des Typs zurück, der von früheren Sophos-Endpoint-Produkten verwendet wurde.
Für einen Scan, der von einem Benutzer gestartet wurde (kein Systemscan), schreiben wir eine zusätzliche Ausgabe auf die Konsole. Für jede Kategorie wird die Anzahl der betroffenen Dateien angezeigt und aufgelistet.
Ergebnis im JSON-Format
Verwenden Sie die --json
-Option, um die Ergebnisse am Ende des Scans im JSON-Format auszugeben.
Wenn kein schwerwiegender Fehler auftritt (Fehlercode 1 oder 2), wird nur ein JSON-Objekt zur Unterstützung von Skripten an stdout
geschrieben.
JSON-Ausgabeformat
Wenn --json
angegeben ist, wird ein JSON-Objekt mit demselben Detailgrad wie die Ausgabe geschrieben, die standardmäßig mit --noui
bereitgestellt wird.
Um die Auffindbarkeit zu erleichtern, werden für einen Benutzerscan immer die folgenden Schlüssel bereitgestellt, auch wenn keine Dateien darunter aufgeführt sind:
{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}
Für einen Systemscan werden nur die Typ- und Zusammenfassungsschlüssel der obersten Ebene vom Typ „fullSystem“ oder „quickSystem“ bereitgestellt.
Wenn für einen Benutzerscan auch --verbose
angegeben ist, ist ein zusätzlicher scannedFiles
-Schlüssel enthalten, der alle gescannten Dateien auflistet, mit Ausnahme der Dateien, auf die nicht zugegriffen werden konnte.
`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`