跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/esg/endpoint/help/zh-tw/index.html?contextId=scan-cli

從命令行掃描

您可以使用我們的命令行工具掃描電腦。

安裝 Sophos Endpoint 時,將自動安裝命令行工具。

該工具安裝在 Program Files/Sophos/Endpoint Defense 中,稱爲 sophosinterceptxcli.exe

此工具可讓您執行下列動作:

  • 執行系統掃描。這是針對整個電腦進行的掃描。
  • 執行使用者掃描。這是針對使用者指定之檔案或資料夾進行的掃描。

此頁面列出了您可以使用的命令和選項。

指令

命令如下:

scan

掃描命令用於啟動裝置掃描並顯示掃描進度對話方塊。結果在 Sophos Endpoint 使用者介面中顯示,偵測到的任何威脅都會向 Sophos Central 報告。

要執行掃描,請輸入以下格式的命令:

scan <options> <targets>

有關掃描選項的詳細資料,請參閱 選項

有關如何指定目標的詳細資料,請參閱 目標

掃描可以存取的檔案取決於掃描執行時所具有的權限:

  • 系統掃描將使用本機系統進程權限執行。它無法存取 Microsoft EFS 加密檔案等檔案,因爲本機系統進程無法存取使用者的金鑰。

  • 使用者掃描 (對特定檔案或資料夾進行的掃描) 以您的使用者權限執行,因此只能掃描您可以存取的檔案。

使用者掃描不會檢查 Sophos Central 中設定的原則或全域排除項所排除的檔案。

掃描使用 Live Protection,它可以根據來自 SophosLabs 的最新威脅資訊檢查可疑檔案。如果 Live Protection 關閉或裝置與網路中斷連線,掃描效果會較差。

help

說明命令顯示可用命令的清單。

help <command> 顯示命令的所有可用選項。

選項

以下是您可以與掃描命令一起使用的選項。它們適用於您指定的所有目標(要掃描的項目)。無論您將它們放在命令行的哪個位置,它們都適用。

選項 說明
展開封存

--expand_archives

掃描將展開封存並掃描內容。
無使用者介面

--noui

未顯示使用者介面。任何偵測都將寫入 stdout。掃描完成前,工具不會關閉。
詳細輸出

--verbose

僅在指定 --noui 時有效。將掃描的每個檔案的資訊(檔案名以及清理或偵測狀態)寫入 stdout
系統掃描

--system

預設情況下 (或者如果還指定了 --full),掃描目前裝置上的所有本機檔案並執行其他系統掃描活動,如 MBR (主開機記錄) 和記憶體掃描。

如果指定了 --quick 連同 --system,系統掃描將僅掃描常用檔案,包括正在執行和最近執行之進程的映像檔案,以及設定為在啟動時自動執行的程式。它還會掃描 MBR 和記憶體。

如果您使用 --system ,請勿指定任何目標。

系統掃描始終以本機系統進程的權限執行。它們無法存取 Microsoft EFS 加密檔案的內容等項目,因為本機系統進程無法存取使用者的金鑰。

目標

目標是您要掃描之內容。目標可以是磁碟機、資料夾或檔案。

要掃描磁碟機,請輸入一個大寫或小寫字母,後跟冒號和反斜線,例如 C:\

注意

您必須加上反斜線。如果沒有,掃描將只檢查該磁碟機上目前資料夾中的檔案。如果指定 C:,則通常是執行命令行工具的資料夾。

要掃描特定資料夾或檔案,請輸入完整或部分路徑。掃描會將資料夾和檔案路徑視爲相對於啟動命令行工具的資料夾。

您可以使用 DOS 樣式或 Unix 樣式的路徑分隔符。您也可以使用 UNC 路徑。

萬用字元

您可以在資料夾和路徑名稱中使用萬用字元,但不能在磁碟機名稱中使用。

萬用字元 說明
*(星號) 用於匹配 0 個或更多字元
? 用於匹配單個字元

請參閱 MS-DOS 和 Windows 萬用字元

掃描可以在檢查資料夾和檔案之前展開萬用字元。只有當萬用字元位於路徑的最後一個元素時,此選項才適用。因此掃描將展開 C:/Test/Folder/F*le,而不是 C:/Test/F*lder/File

錯誤代碼

命令行工具可能返回下列錯誤代碼:

代碼 說明
0 已成功掃描所有檔案,未發現惡意軟體
1 命令處理期間出現錯誤
2 命令行工具安裝過程中發生意外錯誤
3 在一個或多個檔案中偵測到威脅
4 一個或多個檔案在掃描過程中遇到錯誤
5 一個或多個檔案已加密
6 一個或多個檔案的格式不受支援
7 一個或多個檔案無法存取

如果發生多個錯誤,我們將回傳最嚴重的錯誤代碼。代碼按以上嚴重程度順序顯示,最大數字表示最高嚴重程度。

Intercept X CLI 工具不會回傳舊版 Sophos Endpoint 產品使用之類型的其他錯誤代碼。

對於由使用者啟動的掃描 (不是系統掃描),我們會將其他輸出寫入主控台。對於每個類別,我們都會顯示受影響的檔案數並列出它們。

結果採用 JSON 格式

使用 --json 選項可在掃描結束時以 JSON 格式輸出結果。

除非發生致命錯誤 (錯誤代碼 1 或 2),否則只會寫入 JSON 物件至 stdout 以支援指令碼。

JSON 輸出格式

指定 --json 時,將寫入 JSON 物件,其詳細程度與預設情況下使用 --noui 提供的人類可讀輸出結果相同。

對於使用者掃描,將始終提供以下鍵 (即使這些鍵下沒有列出任何檔案),以支援可發現性:

{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}

對於系統掃描,僅提供頂層類型和摘要鍵,其中類型為「fullSystem」或「quickSystem」。

對於使用者掃描,如果還指定了 --verbose,則會包括一個附加 scannedFiles 鍵,列出已掃描的所有檔案 (不可存取的檔案除外)。

`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`