Saltar al contenido

Ejecutar un escaneado desde la línea de comandos

Puede escanear el equipo con nuestra herramienta de línea de comandos.

La herramienta de línea de comandos se instala automáticamente al instalar Sophos Endpoint.

La herramienta se instala en Program Files/Sophos/Endpoint Defense y se llama sophosinterceptxcli.exe.

La herramienta le permite hacer lo siguiente:

  • Ejecutar un escaneado del sistema. Se trata de un escaneado de todo el ordenador.
  • Ejecutar un escaneado de usuario. Se trata de un escaneado de archivos o carpetas especificados por el usuario.

En esta página se enumeran los comandos y las opciones que puede utilizar.

Comandos

Los comandos son los siguientes:

scan

El comando scan inicia un análisis del dispositivo y muestra un cuadro de diálogo de progreso del escaneado. Los resultados se muestran en la interfaz de usuario de Sophos Endpoint y las amenazas detectadas se notifican a Sophos Central.

Para ejecutar un escaneado, introduzca un comando en el siguiente formato:

scan <options> <targets>

Para conocer los detalles de las opciones de escaneado, consulte Opciones.

Para obtener detalles sobre cómo especificar objetivos, consulte Objetivos.

Los archivos a los que puede acceder un escaneado dependen de los derechos con los que se ejecute:

  • Un escaneado del sistema se ejecuta con los derechos de proceso del sistema local. No puede acceder a archivos como los cifrados por Microsoft EFS porque el proceso del sistema local no puede acceder a las claves de un usuario.

  • Los escaneados de usuario (escaneados de archivos o carpetas específicos) se ejecutan con sus derechos de usuario, por lo que solo puede escanear los archivos a los que puede acceder.

Los escaneados de usuario no analizan los archivos excluidos por políticas o exclusiones globales establecidas en Sophos Central.

Los escaneados utilizan Live Protection, que comprueba los archivos sospechosos con la información sobre amenazas más reciente de SophosLabs. Si Live Protection está desactivada o el dispositivo está desconectado de la red, el escaneado es menos eficaz.

help

El comando help muestra una lista de los comandos disponibles.

help <command> muestra todas las opciones disponibles para el comando.

Opciones

Estas son las opciones que puede utilizar con el comando scan. Se aplican a todos los objetivos (elementos que escanear) que especifique. Se aplican independientemente de dónde se coloquen en la línea de comandos.

Opción Descripción
Expandir archivos

--expand_archives

El escaneado expande los archivos y analiza el contenido.

Sin interfaz de usuario

--noui

No se muestra ninguna interfaz de usuario. Todas las detecciones se escriben en stdout. La herramienta no se cierra hasta que finaliza el escaneado.

Salida detallada

--verbose

Es válido solo si se especifica --noui. Escribe información de cada archivo analizado (el nombre del archivo y el estado limpio o detectado) en stdout.

Escaneado del sistema

--system

De forma predeterminada (o si también se especifica --full), analiza todos los archivos locales del dispositivo actual y realiza otras actividades de análisis del sistema, como escaneados del registro de arranque maestro (MBR) o de memoria.

Si se especifica --quick junto con --system, el escaneado del sistema solo analizará los archivos más comúnmente utilizados, incluidos los archivos de imagen de los procesos que estén en ejecución y los que se hayan ejecutado recientemente, y los programas configurados para ejecutarse automáticamente al inicio. También analiza el MBR y la memoria.

Si utiliza --system, no especifique ningún objetivo.

Los escaneados del sistema siempre se ejecutan con los derechos del proceso del sistema local. No pueden acceder a elementos como el contenido de los archivos cifrados por Microsoft EFS porque el proceso del sistema local no tiene acceso a las claves del usuario.

Objetivos

Los objetivos son elementos que quiere escanear, como unidades, carpetas o archivos.

Para escanear una unidad, introduzca una sola letra mayúscula o minúscula seguida de dos puntos y una barra invertida, como por ejemplo C:\

Nota

Debe incluir la barra invertida. De lo contrario, el escaneado solo comprueba los archivos de la carpeta actual de esa unidad. Si especifica C:, normalmente es la carpeta en la que está ejecutando la herramienta de línea de comandos.

Para analizar una carpeta o archivo específico, introduzca una ruta completa o parcial. El escaneado trata las rutas de acceso a carpetas y archivos en relación con la carpeta en la que se inició la herramienta de línea de comandos.

Puede utilizar separadores de ruta de estilo DOS o de estilo Unix. También puede utilizar rutas UNC.

Caracteres comodín

Puede utilizar caracteres comodín en los nombres de carpetas y rutas, pero no en los nombres de unidades.

Carácter comodín Descripción
* (asterisco) Se utiliza para que coincida con 0 o más caracteres
? Se utiliza para coincidir con un solo carácter

Consulte Caracteres comodín de MS-DOS y Windows.

El escaneado puede expandir los caracteres comodín antes de comprobar las carpetas y los archivos. Esto solo se aplica si el carácter comodín se encuentra en el último elemento de la ruta. Por lo tanto, el escaneado expande C:/Test/Folder/F*le, pero no C:/Test/F*lder/File.

Códigos de error

La herramienta de línea de comandos puede devolver los siguientes códigos de error:

Código Descripción
0 Se han escaneado correctamente todos los archivos y no ha encontrado malware
1 Error al gestionar el comando
2 Error inesperado durante la configuración de la herramienta de línea de comandos
3 Se ha detectado una amenaza en uno o más archivos
4 Se ha producido un error con uno o más archivos durante el escaneado
5 Uno o más archivos estaban cifrados
6 Uno o más archivos tienen un formato no compatible
7 Uno o más archivos no eran accesibles

Si se producen varios errores, se devuelve el código de error más grave. Los códigos de arriba se muestran en orden de gravedad (cuanto más alto es el número, mayor es la gravedad).

La herramienta CLI de Intercept X no devuelve códigos de error adicionales del tipo utilizado por productos anteriores de Sophos para endpoints.

En el caso de los escaneados iniciados por los usuarios (a diferencia de los escaneados del sistema), se escriben resultados adicionales en la consola. Para cada categoría, se muestra el número de archivos afectados y se enumeran.

Resultados en formato JSON

Utilice la opción --json para generar resultados en formato JSON al final del escaneado.

A menos que se produzca un error irrecuperable (código de error 1 o 2), solo se escribe un objeto JSON en stdout para permitir scripts.

Formato de salida JSON

Cuando se especifica --json, se escribe un objeto JSON con el mismo nivel de detalle que los resultados legibles proporcionados por defecto con --noui.

En el caso de los escaneados de usuario, siempre se proporcionan las siguientes claves, incluso si no incluyen ningún archivo, para que puedan encontrarse:

{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}

Para los escaneados del sistema, solo se proporcionan claves de tipo y resumen de nivel superior, en que el tipo es "fullSystem" o "quickSystem".

Para los escaneados de usuario, si también se especifica --verbose, se incluye la clave scannedFiles, que enumera todos los archivos que se han escaneado, excepto los no accesibles.

`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`