Przejdź do treści

Skanowanie z poziomu wiersza poleceń

Komputer można skanować za pomocą naszego narzędzia wiersza poleceń.

Narzędzie wiersza poleceń jest instalowane automatycznie podczas instalacji programu Sophos Endpoint.

Narzędzie zostaje zainstalowane w Program Files/Sophos/Endpoint Defense i nosi nazwę sophosinterceptxcli.exe.

Narzędzie umożliwia wykonanie następujących czynności:

  • Uruchom skanowanie systemu. Jest to skanowanie całego komputera.
  • Uruchom skanowanie użytkownika. Jest to skanowanie plików lub folderów określonych przez użytkownika.

Na tej stronie podane są polecenia i opcje, których można użyć.

Polecenia

Polecenia są następujące.

skanuj

Polecenie scan rozpoczyna skanowanie urządzenia i wyświetla okno dialogowe postępu skanowania. Wyniki są wyświetlane w interfejsie użytkownika programu Sophos Endpoint, a wszelkie wykryte zagrożenia są zgłaszane do systemu Sophos Central.

Aby włączyć skanowanie, należy wprowadzić polecenie w następującym formacie:

scan <options> <targets>

Szczegółowe informacje na temat opcji skanowania – patrz Opcje.

Szczegółowe informacje na temat określania obiektów docelowych – patrz Obiekty docelowe.

Pliki, do których może uzyskać dostęp funkcja skanowania, zależą od uprawnień, z jakimi uruchomiono skanowanie:

  • Skanowanie systemu zostaje uruchomione z uprawnieniami lokalnego procesu systemowego. Nie ma ono dostępu do plików takich jak pliki zaszyfrowane w systemie Microsoft EFS, ponieważ lokalny proces systemowy nie ma dostępu do kluczy użytkownika.

  • Skanowanie użytkownika (skanowanie określonych plików lub folderów) odbywa się z Twoimi uprawnieniami użytkownika, a zatem mogą być skanowane tylko te pliki, do których masz dostęp.

Skanowanie użytkownika nie sprawdza plików wyłączonych przez zasady lub globalne wykluczenia ustawione w programie Sophos Central.

Podczas skanowania stosowana jest funkcja ochrony w czasie rzeczywistym, która sprawdza podejrzane pliki pod kątem najnowszych zagrożeń, o których informacje otrzymywane są z SophosLabs. Jeśli funkcja Live Protection jest wyłączona lub urządzenie jest odłączone od Internetu, skanowanie jest mniej skuteczne.

pomoc

Polecenie help wyświetla listę dostępnych poleceń.

help <command> pokazuje wszystkie opcje dostępne dla tego polecenia.

Opcje

Poniżej podane są opcje, których można używać łącznie z poleceniem scan. Mają one zastosowanie do wszystkich wskazanych obiektów docelowych (elementów do skanowania). Opcje te obowiązują niezależnie od tego, gdzie się je umieści w wierszu polecenia.

Opcja Opis
Rozpakowywanie archiwów

--expand_archives

Skanowanie rozpakowuje archiwa i skanuje ich zawartość.

Brak interfejsu użytkownika

--noui

Nie jest wyświetlany żaden interfejs użytkownika. Wszystkie wykryte zagrożenia są zapisywane w stdout. Narzędzie nie zamyka się do momentu zakończenia skanowania.

Wyjście rozbudowane

--verbose

Opcja ta ma zastosowanie tylko wtedy, gdy wybrana zostanie opcja --noui. Zapisywanie informacji o każdym przeskanowanym pliku (nazwa pliku i jego stan: czysty lub wykrycie zagrożenia) w stdout.

Skanowanie systemu

--system

Domyślnie (lub jeśli --full jest również określony), skanowanie obejmuje wszystkie pliki lokalne na bieżącym urządzeniu i wykonuje inne czynności skanowania systemu, takie jak MBR (główny rekord rozruchowy) i skanowanie pamięci.

Jeśli opcja --quick jest określona razem z --system, skanowanie systemu obejmie tylko często używane pliki, w tym pliki obrazów dla uruchomionych i niedawno uruchomionych procesów, oraz dla programów skonfigurowanych do automatycznego włączania się podczas uruchamiania. Skanowanie obejmuje także MBR i pamięć.

Jeśli używana jest opcja --system nie trzeba określać żadnych obiektów docelowych.

Skanowanie systemu zawsze działa z uprawnieniami lokalnego procesu systemowego. Ponieważ lokalny proces systemowy nie ma dostępu do kluczy użytkownika, skanowanie systemu nie ma dostępu do takich elementów jak zawartość plików zaszyfrowanych w systemie Microsoft EFS.

Obiekty docelowe

Obiekty docelowe to elementy, które chcesz przeskanować. Obiektami docelowymi mogą być dyski, foldery lub pliki.

Aby przeskanować dysk, należy wprowadzić pojedynczą wielką lub małą literę, a po niej dwukropek i lewy ukośnik (backslash), na przykład C:\

Uwaga

Należy koniecznie wpisać lewy ukośnik. W przeciwnym razie przeskanowane zostaną tylko pliki na tym dysku znajdujące się w bieżącym folderze. Jeśli podane zostanie C:, to jest to zwykle folder, w którym uruchomiane jest narzędzie wiersza poleceń.

Aby przeskanować określony folder lub plik, należy wprowadzić pełną lub częściową ścieżkę. Skanowanie traktuje ścieżki folderów i plików jako względne w stosunku do folderu, w którym uruchomiono narzędzie wiersza poleceń.

Można używać separatorów ścieżek w stylu DOS lub Unix. Można również używać ścieżek w formacie UNC.

Symbole wieloznaczne

Symboli wieloznacznych można używać w nazwach folderów i ścieżek, natomiast nie w nazwach dysków.

Symbol wieloznaczny Opis
* (gwiazdka) Użycie zastępuje 0 lub więcej znaków
? Użycie zastępuje pojedynczy znak

Patrz symbole wieloznaczne MS-DOS i Windows.

Funkcja skanowania jest w stanie rozwinąć symbole wieloznaczne przed rozpoczęciem sprawdzania folderów i plików. Dotyczy to jednak tylko przypadku, gdy symbol wieloznaczny znajduje się w ostatnim elemencie ścieżki. Skanowanie rozwinie więc C:/Test/Folder/F*le, ale nie C:/Test/F*lder/File.

Kody błędów

Narzędzie wiersza poleceń może zwracać następujące kody błędów:

Kod Opis
0 Pomyślnie przeskanowano wszystkie pliki i nie znaleziono złośliwego oprogramowania
1 Błąd w czasie obsługi polecenia
2 Nieoczekiwany błąd podczas konfigurowania narzędzia wiersza poleceń
3 Wykryto zagrożenie w jednym lub kilku plikach
4 Jeden lub więcej plików napotkało błąd podczas skanowania
5 Jeden lub więcej plików zostało zaszyfrowanych
6 Co najmniej jeden plik ma nieobsługiwany format
7 Jeden lub więcej plików było niedostępnych

Jeśli wystąpi wiele błędów, zwrócimy kod najpoważniejszego z nich. Kody są wyświetlane w kolejności ważności powyżej, przy czym najwyższa liczba oznacza najwyższy poziom ważności.

Narzędzie Intercept X CLI nie zwraca dodatkowych kodów błędu typu takiego jak stosowane przez wcześniejsze produkty Sophos dla urządzeń końcowych.

W przypadku skanowania rozpoczętego przez użytkownika (nie skanowania systemu), piszemy dodatkowe wyjście na konsolę. Dla każdej kategorii pokazujemy liczbę plików, których dotyczy problem, i wymieniamy je.

Wyniki w formacie JSON

Opcja --json umożliwia generowanie wyników w formacie JSON na końcu skanowania.

O ile nie wystąpi błąd krytyczny (kod błędu 1 lub 2), w celu obsługi skryptów do stdout zostaje zapisany tylko obiekt JSON.

Format wyjściowy JSON

Gdy określony jest format --json, obiekt JSON jest zapisywany z zapewnieniem takiego samego poziomu szczegółowości, co czytelne dla człowieka wyjście domyślnie dostarczane z --noui.

W przypadku skanowania użytkownika, aby wspierać wykrywanie, zawsze dostępne są następujące klucze, nawet jeśli nie ma w nich żadnych plików:

{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}

W przypadku skanowania systemu dostępne są tylko przyciski najwyższego poziomu i podsumowania, gdzie typ to „fullSystem” lub „quickSystem”.

W przypadku skanowania użytkownika, jeśli jest również określony --verbose, dołączony jest dodatkowy klucz scannedFiles z wszystkimi przeskanowanymi pliki, z wyjątkiem tych, które były niedostępne.

`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`