Scansione dalla riga di comando
È possibile eseguire la scansione del computer utilizzando il nostro strumento da riga di comando.
Lo strumento da riga di comando viene installato automaticamente durante l’installazione di Sophos Endpoint.
Lo strumento viene collocato nel percorso Program Files/Sophos/Endpoint Defense e il file si chiama sophosinterceptxcli.exe.
Lo strumento consente di:
- Eseguire una scansione di sistema, ovvero una scansione dell’intero computer. Eseguire una scansione utente.
- Questa scansione analizza i file o le cartelle indicati dall’utente.
In questa pagina sono elencati i comandi e le opzioni che possono essere utilizzati.
Comandi
I comandi sono riportati di seguito.
scan
Il comando scan avvia una scansione del dispositivo e mostra una finestra di stato della scansione. I risultati vengono visualizzati nell’interfaccia utente di Sophos Endpoint ed eventuali minacce rilevate vengono segnalate a Sophos Central.
Per eseguire una scansione, occorre immettere un comando nel seguente formato:
scan <options> <targets>
Per informazioni dettagliate sulle opzioni di scansione, vedere Opzioni.
Per informazioni su come specificare destinazioni, vedere Destinazioni.
I file a cui può accedere una scansione dipendono dai diritti con cui viene eseguita la scansione:
-
Una scansione di sistema viene eseguita con i diritti del processo del sistema locale. Non può accedere a file come i file crittografati con Microsoft EFS, perché il processo del sistema locale non ha accesso alle chiavi di un utente.
-
Una scansione utente (ovvero una scansione di file o cartelle specifici) viene eseguita con i diritti dell’utente, pertanto può eseguire solo la scansione dei file a cui si ha accesso.
Una scansione utente non analizza i file esclusi dalle esclusioni per i criteri o globali impostate in Sophos Central.
Le scansioni utilizzano Live Protection, che analizza i file confrontandoli con le più recenti informazioni sul malware fornite dai SophosLabs. Se Live Protection è disattivata o se il dispositivo non è connesso alla rete, la scansione sarà meno efficace.
help
Il comando help mostra un elenco dei comandi disponibili.
help <command> mostra tutte le opzioni disponibili per il comando.
Opzioni
Di seguito sono riportate le opzioni che è possibile utilizzare con il comando scan. Sono applicabili a tutte le destinazioni (gli elementi da sottoporre a scansione) specificate, indipendentemente da dove vengono inserite nella riga di comando.
| Opzione | Descrizione |
|---|---|
| Expand archives |
La scansione espande i file compressi e ne analizza i contenuti. |
| No user interface |
Non viene visualizzata alcuna interfaccia utente. Eventuali rilevamenti vengono scritti in |
| Verbose output |
Comando valido solo se viene specificato |
| System scan |
Per impostazione predefinita (o se è specificato anche Se insieme a Se si utilizza Le scansioni di sistema vengono eseguite sempre con i diritti del processo del sistema locale. Non possono accedere a elementi come il contenuto dei file crittografati con Microsoft EFS, perché il processo del sistema locale non ha accesso alle chiavi dell’utente. |
Destinazioni
Le destinazioni sono gli elementi che si desidera sottoporre a scansione. Possono essere unità, cartelle o file.
Per eseguire la scansione di un’unità, immettere una singola lettera maiuscola o minuscola, seguita dal carattere due punti e una barra rovesciata, ad esempio C:\
Nota
È obbligatorio includere la barra rovesciata, altrimenti la scansione analizzerà soltanto i file nella cartella attuale di quell’unità. Specificando C:, di solito verrà considerata la cartella da cui si esegue lo strumento da riga di comando.
Per eseguire la scansione di una cartella o di un file specifico, immettere un percorso completo o parziale. La scansione considererà i percorsi di cartelle e file nel contesto della cartella da cui è stato avviato lo strumento da riga di comando.
È possibile utilizzare separatori di percorso in stile DOS o Unix. È anche possibile utilizzare percorsi UNC.
Caratteri jolly
Si possono utilizzare caratteri jolly nei nomi delle cartelle e dei percorsi, ma non nei nomi delle unità.
| Carattere jolly | Descrizione |
|---|---|
| * (asterisco) | Da utilizzare per trovare corrispondenza con 0 o più caratteri |
| ? | Da utilizzare per trovare corrispondenza con un singolo carattere |
Vedere Caratteri jolly MS-DOS e Windows.
La scansione può espandere i caratteri jolly prima di analizzare la presenza di cartelle e file. Questo è applicabile solo se il carattere jolly si trova nell’ultimo elemento del percorso. La scansione espanderà quindi C:/Test/Folder/F*le, ma non C:/Test/F*lder/File.
Codici di errore
Lo strumento da riga di comando può restituire i seguenti codici di errore:
| Codice | Descrizione |
|---|---|
0 | Tutti i file sono stati sottoposti a scansione e non è stato trovato alcun malware |
1 | Errore durante la gestione dei comandi |
2 | Errore imprevisto durante la configurazione dello strumento da riga di comando |
3 | È stata rilevata una minaccia in uno o più file |
4 | Durante la scansione si è verificato un problema che riguarda uno o più file |
5 | Uno o più file sono stati crittografati |
6 | Uno o più file hanno un formato non supportato |
7 | Uno o più file erano inaccessibili |
Se gli errori sono più di uno, restituiremo il codice di errore più grave. I codici vengono visualizzati nell’ordine di gravità indicato sopra, e un numero più alto indica un maggiore livello di gravità.
Lo strumento da riga di comando di Intercept X non restituisce codici di errore aggiuntivi che riflettono il tipo utilizzato da prodotti Sophos Endpoint meno recenti.
Per le scansioni avviate da un utente (non per le scansioni di sistema), viene fornito output aggiuntivo nella console. Per ogni categoria viene visualizzato il numero di file interessati, e ne è riportato un elenco.
Risultati in formato JSON
Utilizzare l’opzione --json per generare risultati in formato JSON al termine della scansione.
A meno che non si verifichi un errore irreversibile (codice di errore 1 o 2), viene scritto solo un oggetto JSON nell’stdout, per supportare lo scripting.
Formato di output JSON
Quando viene specificato --json, viene scritto un oggetto JSON fornendo lo stesso livello di dettaglio dell’output leggibile fornito per impostazione predefinita con --noui.
Per una scansione utente, vengono sempre fornite le seguenti chiavi, anche se non sono elencati file sotto di esse, per supportare la rilevabilità:
{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}
Per le scansioni di sistema, vengono fornite solo le chiavi di primo livello e di riepilogo, dove il tipo è “FullSystem” o “QuickSystem”.
Per le scansioni utente, se è specificato anche --verbose, viene inclusa una chiave aggiuntiva scannedFiles che elenca tutti i file sottoposti a scansione, ad eccezione di quelli inaccessibili.
`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`