管理与支持产品文档捉虫活动邀您参加!> HOT
文档中心>API 中心>容器安全服务>运行时安全-木马调用相关接口>运行时查询木马文件信息

运行时查询木马文件信息

最近更新时间:2025-06-05 02:01:55

我的收藏

本页目录:

1. 接口描述

接口请求域名: tcss.tencentcloudapi.com 。

运行时查询木马文件信息

默认接口请求频率限制:20次/秒。

推荐使用 API Explorer
点击调试
API Explorer 提供了在线调用、签名验证、SDK 代码生成和快速检索接口等能力。您可查看每次调用的请求内容和返回结果以及自动生成 SDK 调用示例。

2. 输入参数

以下请求参数列表仅列出了接口请求参数和部分公共参数,完整公共参数列表见 公共请求参数

参数名称 必选 类型 描述
Action String 公共参数,本接口取值:DescribeVirusDetail。
Version String 公共参数,本接口取值:2020-11-01。
Region String 公共参数,此参数为可选参数。
Id String 木马文件id
示例值:61715

3. 输出参数

参数名称 类型 描述
ImageId String 镜像ID
示例值:sha256:**5ff34259ceb7fbe9cd10b2d94912618f5b5595f234349c5bb0cd4faaaa
ImageName String 镜像名称
示例值:centos:7
CreateTime String 创建时间
示例值:2024-10-30 11:12:53
Size Integer 木马文件大小
示例值:33213
FilePath String 木马文件路径
示例值:/home/virus//a/f
ModifyTime String 最近生成时间
示例值:2024-10-30 11:12:53
VirusName String 病毒名称
示例值:Win32.Virus.Ramnit.Qwhl
RiskLevel String 风险等级 RISK_CRITICAL, RISK_HIGH, RISK_MEDIUM, RISK_LOW, RISK_NOTICE。
示例值:RISK_CRITICAL
ContainerName String 容器名称
示例值:/container_name
ContainerId String 容器id
示例值:*f9268ecea2aa75b26632299df8aaf496af54e391f94ebcc62d7b243aaaa
HostName String 主机名称
示例值:instance-*
HostId String 主机id
示例值:****fda9-58c8-4c4f-9e8c-b7296836c1fe
ProcessName String 进程名称
示例值:sshd
ProcessPath String 进程路径
示例值:/usr/bin/sshd
ProcessMd5 String 进程md5
示例值:****55c5-8ab1-4e32-8425-4c44acb5edec
ProcessId Integer 进程id
示例值:1011
ProcessArgv String 进程参数
示例值:-port 3300
ProcessChan String 进程链
示例值:git(433802)|node(280016)|containerd-shim-runc-v2(176637)|system****
ProcessAccountGroup String 进程组
示例值:root
ProcessStartAccount String 进程启动用户
示例值:root
ProcessFileAuthority String 进程文件权限
示例值:-rwxr-****
SourceType Integer 来源:0:一键扫描, 1:定时扫描 2:实时监控
示例值:0
Tags Array of String 标签
示例值:[ "ramnit", "Worm", "窃取用户信息,感染用户本地所有的html、exe、dll等格式的文件。" ]
HarmDescribe String 事件描述
示例值:蠕虫病毒Ramnit最早出现在2010年,至今已有8年之久,因传播力强而“闻名于世”。Ramnit蠕虫病毒通过被感染的EXE、DLL、HTML、HTM文件传播,在正常电脑打开这些染毒文件时会导致新的感染发生。
SuggestScheme String 建议方案
示例值:1.在病毒尚未完全清理干净之前,暂时关闭系统文件共享功能 ,防止感染范围进一步扩大;
Mark String 备注
示例值:mark reason
FileName String 风险文件名称
示例值:fileName
FileMd5 String 文件MD5
示例值:*01a194c3a1179cfe4a7ac836626
EventType String 事件类型
示例值:恶意文件告警
PodName String 集群名称
示例值:node1
Status String DEAL_NONE:文件待处理
DEAL_IGNORE:已经忽略
DEAL_ADD_WHITELIST:加白
DEAL_DEL:文件已经删除
DEAL_ISOLATE:已经隔离
DEAL_ISOLATING:隔离中
DEAL_ISOLATE_FAILED:隔离失败
DEAL_RECOVERING:恢复中
DEAL_RECOVER_FAILED: 恢复失败
示例值:DEAL_NONE
SubStatus String 失败子状态:
FILE_NOT_FOUND:文件不存在
FILE_ABNORMAL:文件异常
FILE_ABNORMAL_DEAL_RECOVER:恢复文件时,文件异常
BACKUP_FILE_NOT_FOUND:备份文件不存在
CONTAINER_NOT_FOUND_DEAL_ISOLATE:隔离时,容器不存在
CONTAINER_NOT_FOUND_DEAL_RECOVER:恢复时,容器不存在
示例值:FILE_NOT_FOUND
HostIP String 内网ip
示例值:10.0.*.1
ClientIP String 外网ip
示例值:11.0.*.1
PProcessStartUser String 父进程启动用户
示例值:root
PProcessUserGroup String 父进程用户组
示例值:root
PProcessPath String 父进程路径
示例值:/usr/bin/****
PProcessParam String 父进程命令行参数
示例值:node dist/inde****
AncestorProcessStartUser String 祖先进程启动用户
示例值:0
AncestorProcessUserGroup String 祖先进程用户组
示例值:0
AncestorProcessPath String 祖先进程路径
示例值:/usr/local/bin/containerd-shim-run****
AncestorProcessParam String 祖先进程命令行参数
示例值:/usr/local/bin/containerd-shim-runc-v2 -namespace k8s.io -id 7b4ed805844e07bd15663e4f778acf9bf388719cbcdf794290b9637a550a21d6 -address /run/containerd/containerd.****
OperationTime String 事件最后一次处理的时间
示例值:2020-11-11 10:1****
ContainerNetStatus String 容器隔离状态
示例值:NORMAL
ContainerNetSubStatus String 容器隔离子状态
示例值:NONE
ContainerIsolateOperationSrc String 容器隔离操作来源
示例值:src
CheckPlatform Array of String 检测平台
1: 云查杀引擎
2: tav
3: binaryAi
4: 异常行为
5: 威胁情报
示例值:["VDC"]
FileAccessTime String 文件访问时间
示例值:2006-01-02 15:04:05
FileModifyTime String 文件修改时间
示例值:2006-01-02 15:04:05
NodeSubNetID String 节点子网ID
示例值:subnet-5gu2***
NodeSubNetName String 节点子网名称
示例值:subnet***
NodeSubNetCIDR String 节点子网网段
示例值:10.0.0.1/24
ClusterID String 集群id
示例值:cls-dfw3e***
PodIP String pod ip
示例值:10.0.1****
PodStatus String pod状态
示例值:Running
NodeUniqueID String 节点唯一ID
示例值:**9d-2e7d-4151-a26f-4e9fdafe****
NodeType String 节点类型:NORMAL普通节点、SUPER超级节点
示例值:NORMAL
NodeID String 节点ID
示例值:node-ins1a
ClusterName String 集群名称
示例值:clsfoo***
Namespace String Namespace
示例值:default
WorkloadType String 工作负载类型
示例值:cvm
ContainerStatus String 容器状态
示例值:RUNNING
RequestId String 唯一请求 ID,由服务端生成,每次请求都会返回(若请求因其他原因未能抵达服务端,则该次请求不会获得 RequestId)。定位问题时需要提供该次请求的 RequestId。

4. 示例

示例1 运行时查询木马文件信息

运行时查询木马文件信息

输入示例

POST / HTTP/1.1
Host: tcss.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeVirusDetail
<公共请求参数>

{
    "Id": "10021"
}

输出示例

{
    "Response": {
        "AncestorProcessParam": "/usr/local/bin/containerd-shim-runc-v2 -namespace k8s.io -id 7b4ed805844e07bd15663e4f778acf9bf388719cbcdf794290b9637a550a21d6 -address /run/containerd/containerd.****",
        "AncestorProcessPath": "/usr/local/bin/containerd-shim-run****",
        "AncestorProcessStartUser": "0",
        "AncestorProcessUserGroup": "0",
        "CheckPlatform": [
            "VDC",
            "TAV"
        ],
        "ClientIP": "10.*.*.1",
        "ClusterID": "cls-dfw3e***",
        "ClusterName": "clsfoo***",
        "ContainerId": "d4c43f9268ecea2aa75b26632299df8aaf496a*******",
        "ContainerIsolateOperationSrc": "运行时安全/文件查杀",
        "ContainerName": "/container_name",
        "ContainerNetStatus": "ISOLATED",
        "ContainerNetSubStatus": "NONE",
        "CreateTime": "2024-08-27T03:30:37Z",
        "EventType": "恶意文件告警",
        "FileAccessTime": "2018-02-28T07:45:34Z",
        "FileMd5": "81a7701a194c3a******",
        "FileModifyTime": "2018-02-28T07:45:34Z",
        "FileName": "specimen_*******",
        "FilePath": "/home/virus/specimen_******",
        "HarmDescribe": "蠕虫病毒Ramnit最早出现在2010年,至今已有8年之久,因传播力强而“闻名于世”。",
        "HostIP": "10.0.0.1",
        "HostId": "dc56fda9-58c8-4c4f-9e8c-abb0cd4f92aa",
        "HostName": "hostname",
        "ImageId": "sha256:80beff5ff34259ceb7fbe9cd*******",
        "ImageName": "centos:7",
        "Mark": "mark reason",
        "ModifyTime": "2024-10-21T06:42:49Z",
        "Namespace": "tcss",
        "NodeID": "mix-GOmf****",
        "NodeSubNetCIDR": "10.*.*.1/24",
        "NodeSubNetID": "subnet-aau2***",
        "NodeSubNetName": "subnet***",
        "NodeType": "NORMAL",
        "NodeUniqueID": "wer41324-18a1-4775-9e3f-**",
        "OperationTime": "2024-08-27T03:30:37Z",
        "PProcessParam": "node dist/inde****",
        "PProcessPath": "/usr/bin/****",
        "PProcessStartUser": "root",
        "PProcessUserGroup": "root",
        "PodIP": "10.0.*.*",
        "PodName": "PodName",
        "PodStatus": "Running",
        "ProcessAccountGroup": "root",
        "ProcessArgv": "git clone --depth=1 https://github.com/busi",
        "ProcessChan": "git(433802)|node(280016)|containerd-shim-runc-v2(176637)|system****",
        "ProcessFileAuthority": "-rwxr-****",
        "ProcessId": 0,
        "ProcessMd5": "472c65af3f43136472d1a383f5******",
        "ProcessName": "/bin/a***",
        "ProcessPath": "/usr/bin****",
        "ProcessStartAccount": "root",
        "RequestId": "dc56fda9-58c8-4c4f-9e8c-b7296836*****",
        "RiskLevel": "RISK_CRITICAL",
        "Size": 332155,
        "SourceType": 0,
        "Status": "DEAL_NONE",
        "SubStatus": "FILE_NOT_FOUND",
        "SuggestScheme": "1.在病毒尚未完全清理干净之前,暂时关闭系统文件共享功能 ,防止感染范围进一步扩大;\n2.检查恶意进程及非法端口,删除可疑的启动项和定时任务;\n3.隔离或者删除相关的木马文件;\n4.对系统进行风险排查,并进行安全加固,详情可参考如下链接: \n【Linux】https://cloud.tencent.com/document/product/296/9604 \n【Windows】https://cloud.tencent.com/document/product/296/9605",
        "Tags": [
            "ramnit",
            "Worm",
            "窃取用户信息,感染用户本地所有的html、exe、dll等格式的文件。"
        ],
        "VirusName": "Win32.Virus.Ramnit.Qwhl",
        "WorkloadType": "DaemonSet",
        "ContainerStatus": "RUNNING"
    }
}

5. 开发者资源

腾讯云 API 平台

腾讯云 API 平台 是综合 API 文档、错误码、API Explorer 及 SDK 等资源的统一查询平台,方便您从同一入口查询及使用腾讯云提供的所有 API 服务。

API Inspector

用户可通过 API Inspector 查看控制台每一步操作关联的 API 调用情况,并自动生成各语言版本的 API 代码,也可前往 API Explorer 进行在线调试。

SDK

云 API 3.0 提供了配套的开发工具集(SDK),支持多种编程语言,能更方便的调用 API。

命令行工具

6. 错误码

以下仅列出了接口业务逻辑相关的错误码,其他错误码详见 公共错误码

错误码 描述
InternalError 内部错误。
InternalError.MainDBFail 操作数据库失败。
InvalidParameter 参数错误。
ResourceNotFound 资源不存在。
中国站
目录