Saltar para o conteúdo

Permalink da página

Utilize sempre o permalink a seguir ao referenciar esta página. Permanecerá inalterado em versões de ajuda futuras.

https://docs.sophos.com/esg/endpoint/help/pt-pt/index.html?contextId=scan-cli

Analisar o computador a partir da linha de comando

Pode executar a análise do computador utilizando a nossa ferramenta de linha de comando.

A ferramenta de linha de comando é instalada automaticamente quando instala o Sophos Endpoint.

A ferramenta é instalada em Program Files/Sophos/Endpoint Defense e tem o nome de sophosinterceptxcli.exe.

A ferramenta permite-lhe fazer o seguinte:

  • Executar uma análise de sistema. Trata-se aqui de uma análise de todo o computador.
  • Executar uma análise de utilizador. Trata-se aqui de uma análise dos ficheiros e pastas especificadas pelo utilizador.

Esta página lista os comandos e as opções que pode utilizar.

Comandos

Os comandos são os especificados a seguir.

scan (análise)

O comando scan inicia a análise do dispositivo e mostra uma caixa de diálogo com o progresso da análise. Os resultados são mostrados na interface do utilizador do Sophos Endpoint e todas as ameaças detetadas são reportadas ao Sophos Central.

Para executar uma análise, digite um comando no seguinte formato:

scan <options> <targets>

Para obter detalhes das opções de análise, consulte Opções.

Para obter detalhes sobre como especificar destinos, ou alvos, consulte Destinos ou alvos.

Os ficheiros a que uma análise pode ter acesso dependem dos direitos ao abrigo dos quais a análise é executada:

  • Uma análise de sistema é executada com os direitos de processo do sistema local. Esta não pode ter acesso a ficheiros, como, por exemplo, ficheiros encriptados pelo Microsoft EFS, porque o processo do sistema local não pode aceder às chaves de um utilizador.

  • Uma análise de utilizador (uma análise de ficheiros ou pastas em específico) é executada com os seus direitos de utilizador, portanto, só é possível analisar os ficheiros a que pode ter acesso.

A análise de utilizador não analisa ficheiros que são excluídos por políticas ou exclusões globalizadas definidas no Sophos Central.

As análises utilizam o Live Protection, que verifica ficheiros suspeitos em relação às mais recentes informações sobre ameaças do SophosLabs. Se o Live Protection estiver desativado ou o dispositivo estiver desligado da rede, a análise será menos eficaz.

help (ajuda)

O comando help mostra uma lista de comandos disponíveis.

help <command> mostra todas as opções disponíveis para o comando.

Opções

Estas opções podem ser utilizadas com o comando scan (análise). Estas aplicam-se a todos os destinos (itens-alvo a analisar) especificados por si. Estas aplicam-se independentemente de onde as tenha colocado na linha de comando.

Opção Descrição
Expandir ficheiros

--expand_archives

A análise expande os ficheiros e examina o conteúdo.
Sem interface do utilizador

--noui

Não é exibida nenhuma interface do utilizador. Todas as deteções são gravadas em stdout. A ferramenta não fecha até que a análise seja concluída.
Saída de mensagens detalhadas

--verbose

Válido apenas se --noui for especificado. Grava informações em cada ficheiro analisado (o nome do ficheiro e o estado de Limpo ou Detetado) em stdout.
Análise de sistema

--system

Por defeito (ou se --full também for especificado), analisa todos os ficheiros locais no dispositivo atual e realiza outras atividades de análise do sistema, como análises MBR (Master Boot Record) e de memória.

Se --quick for especificado em conjunto com --system, a análise de sistema será executada para analisar apenas os ficheiros de utilização comum, incluindo ficheiros de imagem para processos em execução e recentemente em execução, e os programas configurados para serem executados automaticamente ao iniciar. Também analisa o MBR e a memória.

Se utilizar --system, não especifique nenhum destino ou alvo.

A análises de sistema apenas são executadas com os direitos de processo do sistema local. Estas não podem aceder a itens, como, por exemplo, ficheiros encriptados pelo Microsoft EFS, porque o processo do sistema local não tem acesso às chaves de um utilizador.

Destinos ou alvos

Destinos, ou também alvos, são coisas que pretende analisar. Os destinos ou alvos podem ser unidades de disco, pastas ou ficheiros.

Para analisar uma unidade de disco, digite uma letra maiúscula ou minúscula seguida de dois pontos e uma contrabarra, como C:\

Nota

Tem de incluir a contrabarra. Se não fizer isso, a análise só examinará os ficheiros na pasta atual nessa unidade de disco. Se especificar C:, essa é geralmente a pasta onde está a executar a ferramenta de linha de comando.

Para analisar uma pasta ou ficheiro em específico, insira um caminho completo ou parcial. A análise trata os caminhos de pastas e ficheiros como estando relacionados com a pasta a partir da qual iniciou a ferramenta de linha de comando.

Pode utilizar os separadores de caminho estilo DOS ou Unix. Também pode utilizar caminhos UNC.

Wildcards (curingas)

Pode utilizar wildcards (curingas) em nomes de pastas e caminhos, mas não em nomes de unidades de disco.

Wildcard (curinga) Descrição
* (asterisco) Utilize para corresponder a 0 ou mais carateres
? Utilize para corresponder a um único caráter

Consulte MS-DOS and Windows Wildcard Characters.

A análise pode expandir wildcards (curingas) antes de examinar pastas e ficheiros. Isto aplica-se apenas se o wildcard (curinga) estiver no último elemento do caminho. Assim, a análise expande C:/Test/Folder/F*le, mas não C:/Test/F*lder/File.

Códigos de erro

A ferramenta de linha de comando pode devolver os seguintes códigos de erro:

Código Descrição
0 Todos os ficheiros foram analisados com sucesso e nenhum malware foi encontrado
1 Erro durante a utilização do comando
2 Erro inesperado durante a configuração da ferramenta de linha de comando
3 Uma ameaça foi detetada num ou mais ficheiros
4 Um ou mais ficheiros encontraram um erro durante a análise
5 Um ou mais ficheiros foram encriptados
6 Um ou mais ficheiros têm um formato não suportado
7 Um ou mais ficheiros estão inacessíveis

Se ocorrerem vários erros, devolveremos o código de erro mais severo. Os códigos são exibidos pela ordem de severidade acima, com o número mais alto a indicar a severidade mais alta.

A ferramenta Intercept X CLI não devolve códigos de erro adicionais do tipo utilizado por produtos de endpoint da Sophos anteriores.

Em relação a uma análise iniciada por um utilizador (não uma análise de sistema), escrevemos uma saída adicional no painel de controlo. Para cada categoria, mostramos o número de ficheiros afetados e listamo-los.

Resultados em formato JSON

Utilize a opção --json para produzir resultados em formato JSON no final da análise.

A menos que ocorra um erro fatal (código de erro 1 ou 2), apenas um objeto JSON é escrito em stdout para dar suporte ao script.

Formato de saída JSON

Quando --json é especificado, um objeto JSON é escrito fornecendo o mesmo nível de detalhe correspondente ao da saída legível por humanos fornecida por defeito com --noui.

Em relação a uma análise de utilizador, as seguintes chaves são sempre fornecidas, mesmo que nenhum ficheiro esteja listado sob elas, para suportar a detetabilidade:

{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}

Em relação a uma análise de sistema, são fornecidas apenas as chaves de nível superior de tipo e resumo, sendo que o tipo é "fullSystem" ou "quickSystem".

Em relação a uma análise de utilizador, se --verbose também for especificada, uma chave scannedFiles adicional é incluída, listando todos os ficheiros que foram analisados, exceto os que estão inacessíveis.

`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`