Skanowanie z poziomu wiersza poleceń
Komputer można skanować za pomocą naszego narzędzia wiersza poleceń.
Narzędzie wiersza poleceń jest instalowane automatycznie podczas instalacji programu Sophos Endpoint.
Narzędzie zostaje zainstalowane w Program Files/Sophos/Endpoint Defense
i nosi nazwę sophosinterceptxcli.exe
.
Narzędzie umożliwia wykonanie następujących czynności:
- Uruchom skanowanie systemu. Jest to skanowanie całego komputera.
- Uruchom skanowanie użytkownika. Jest to skanowanie plików lub folderów określonych przez użytkownika.
Na tej stronie podane są polecenia i opcje, których można użyć.
Polecenia
Polecenia są następujące.
skanuj
Polecenie scan rozpoczyna skanowanie urządzenia i wyświetla okno dialogowe postępu skanowania. Wyniki są wyświetlane w interfejsie użytkownika programu Sophos Endpoint, a wszelkie wykryte zagrożenia są zgłaszane do systemu Sophos Central.
Aby włączyć skanowanie, należy wprowadzić polecenie w następującym formacie:
scan <options> <targets>
Szczegółowe informacje na temat opcji skanowania – patrz Opcje.
Szczegółowe informacje na temat określania obiektów docelowych – patrz Obiekty docelowe.
Pliki, do których może uzyskać dostęp funkcja skanowania, zależą od uprawnień, z jakimi uruchomiono skanowanie:
-
Skanowanie systemu zostaje uruchomione z uprawnieniami lokalnego procesu systemowego. Nie ma ono dostępu do plików takich jak pliki zaszyfrowane w systemie Microsoft EFS, ponieważ lokalny proces systemowy nie ma dostępu do kluczy użytkownika.
-
Skanowanie użytkownika (skanowanie określonych plików lub folderów) odbywa się z Twoimi uprawnieniami użytkownika, a zatem mogą być skanowane tylko te pliki, do których masz dostęp.
Skanowanie użytkownika nie sprawdza plików wyłączonych przez zasady lub globalne wykluczenia ustawione w programie Sophos Central.
Podczas skanowania stosowana jest funkcja ochrony w czasie rzeczywistym, która sprawdza podejrzane pliki pod kątem najnowszych zagrożeń, o których informacje otrzymywane są z SophosLabs. Jeśli funkcja Live Protection jest wyłączona lub urządzenie jest odłączone od Internetu, skanowanie jest mniej skuteczne.
pomoc
Polecenie help wyświetla listę dostępnych poleceń.
help <command>
pokazuje wszystkie opcje dostępne dla tego polecenia.
Opcje
Poniżej podane są opcje, których można używać łącznie z poleceniem scan. Mają one zastosowanie do wszystkich wskazanych obiektów docelowych (elementów do skanowania). Opcje te obowiązują niezależnie od tego, gdzie się je umieści w wierszu polecenia.
Opcja | Opis |
---|---|
Rozpakowywanie archiwów |
Skanowanie rozpakowuje archiwa i skanuje ich zawartość. |
Brak interfejsu użytkownika |
Nie jest wyświetlany żaden interfejs użytkownika. Wszystkie wykryte zagrożenia są zapisywane w |
Wyjście rozbudowane |
Opcja ta ma zastosowanie tylko wtedy, gdy wybrana zostanie opcja |
Skanowanie systemu |
Domyślnie (lub jeśli Jeśli opcja Jeśli używana jest opcja Skanowanie systemu zawsze działa z uprawnieniami lokalnego procesu systemowego. Ponieważ lokalny proces systemowy nie ma dostępu do kluczy użytkownika, skanowanie systemu nie ma dostępu do takich elementów jak zawartość plików zaszyfrowanych w systemie Microsoft EFS. |
Obiekty docelowe
Obiekty docelowe to elementy, które chcesz przeskanować. Obiektami docelowymi mogą być dyski, foldery lub pliki.
Aby przeskanować dysk, należy wprowadzić pojedynczą wielką lub małą literę, a po niej dwukropek i lewy ukośnik (backslash), na przykład C:\
Uwaga
Należy koniecznie wpisać lewy ukośnik. W przeciwnym razie przeskanowane zostaną tylko pliki na tym dysku znajdujące się w bieżącym folderze. Jeśli podane zostanie C:
, to jest to zwykle folder, w którym uruchomiane jest narzędzie wiersza poleceń.
Aby przeskanować określony folder lub plik, należy wprowadzić pełną lub częściową ścieżkę. Skanowanie traktuje ścieżki folderów i plików jako względne w stosunku do folderu, w którym uruchomiono narzędzie wiersza poleceń.
Można używać separatorów ścieżek w stylu DOS lub Unix. Można również używać ścieżek w formacie UNC.
Symbole wieloznaczne
Symboli wieloznacznych można używać w nazwach folderów i ścieżek, natomiast nie w nazwach dysków.
Symbol wieloznaczny | Opis |
---|---|
* (gwiazdka) | Użycie zastępuje 0 lub więcej znaków |
? | Użycie zastępuje pojedynczy znak |
Patrz symbole wieloznaczne MS-DOS i Windows.
Funkcja skanowania jest w stanie rozwinąć symbole wieloznaczne przed rozpoczęciem sprawdzania folderów i plików. Dotyczy to jednak tylko przypadku, gdy symbol wieloznaczny znajduje się w ostatnim elemencie ścieżki. Skanowanie rozwinie więc C:/Test/Folder/F*le
, ale nie C:/Test/F*lder/File
.
Kody błędów
Narzędzie wiersza poleceń może zwracać następujące kody błędów:
Kod | Opis |
---|---|
0 | Pomyślnie przeskanowano wszystkie pliki i nie znaleziono złośliwego oprogramowania |
1 | Błąd w czasie obsługi polecenia |
2 | Nieoczekiwany błąd podczas konfigurowania narzędzia wiersza poleceń |
3 | Wykryto zagrożenie w jednym lub kilku plikach |
4 | Jeden lub więcej plików napotkało błąd podczas skanowania |
5 | Jeden lub więcej plików zostało zaszyfrowanych |
6 | Co najmniej jeden plik ma nieobsługiwany format |
7 | Jeden lub więcej plików było niedostępnych |
Jeśli wystąpi wiele błędów, zwrócimy kod najpoważniejszego z nich. Kody są wyświetlane w kolejności ważności powyżej, przy czym najwyższa liczba oznacza najwyższy poziom ważności.
Narzędzie Intercept X CLI nie zwraca dodatkowych kodów błędu typu takiego jak stosowane przez wcześniejsze produkty Sophos dla urządzeń końcowych.
W przypadku skanowania rozpoczętego przez użytkownika (nie skanowania systemu), piszemy dodatkowe wyjście na konsolę. Dla każdej kategorii pokazujemy liczbę plików, których dotyczy problem, i wymieniamy je.
Wyniki w formacie JSON
Opcja --json
umożliwia generowanie wyników w formacie JSON na końcu skanowania.
O ile nie wystąpi błąd krytyczny (kod błędu 1 lub 2), w celu obsługi skryptów do stdout
zostaje zapisany tylko obiekt JSON.
Format wyjściowy JSON
Gdy określony jest format --json
, obiekt JSON jest zapisywany z zapewnieniem takiego samego poziomu szczegółowości, co czytelne dla człowieka wyjście domyślnie dostarczane z --noui
.
W przypadku skanowania użytkownika, aby wspierać wykrywanie, zawsze dostępne są następujące klucze, nawet jeśli nie ma w nich żadnych plików:
{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}
W przypadku skanowania systemu dostępne są tylko przyciski najwyższego poziomu i podsumowania, gdzie typ to „fullSystem” lub „quickSystem”.
W przypadku skanowania użytkownika, jeśli jest również określony --verbose
, dołączony jest dodatkowy klucz scannedFiles
z wszystkimi przeskanowanymi pliki, z wyjątkiem tych, które były niedostępne.
`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`