1. 接口描述
接口请求域名: tcss.tencentcloudapi.com 。
运行时查询木马文件信息
默认接口请求频率限制:20次/秒。
推荐使用 API Explorer
点击调试
API Explorer 提供了在线调用、签名验证、SDK 代码生成和快速检索接口等能力。您可查看每次调用的请求内容和返回结果以及自动生成 SDK 调用示例。
2. 输入参数
以下请求参数列表仅列出了接口请求参数和部分公共参数,完整公共参数列表见 公共请求参数。
| 参数名称 | 必选 | 类型 | 描述 |
|---|---|---|---|
| Action | 是 | String | 公共参数,本接口取值:DescribeVirusDetail。 |
| Version | 是 | String | 公共参数,本接口取值:2020-11-01。 |
| Region | 否 | String | 公共参数,此参数为可选参数。 |
| Id | 是 | String | 木马文件id |
3. 输出参数
| 参数名称 | 类型 | 描述 |
|---|---|---|
| ImageId | String | 镜像ID 注意:此字段可能返回 null,表示取不到有效值。 示例值:sha256:80beff5ff34259ceb7fbe9cd10b2d94912618f5b5595f234349c5bb0cd4f9211 |
| ImageName | String | 镜像名称 注意:此字段可能返回 null,表示取不到有效值。 示例值:centos:7 |
| CreateTime | String | 创建时间 注意:此字段可能返回 null,表示取不到有效值。 示例值:2024-10-30 11:12:53 |
| Size | Integer | 木马文件大小 注意:此字段可能返回 null,表示取不到有效值。 示例值:33213 |
| FilePath | String | 木马文件路径 注意:此字段可能返回 null,表示取不到有效值。 示例值:/home/virus//a/f |
| ModifyTime | String | 最近生成时间 注意:此字段可能返回 null,表示取不到有效值。 示例值:2024-10-30 11:12:53 |
| VirusName | String | 病毒名称 注意:此字段可能返回 null,表示取不到有效值。 示例值:Win32.Virus.Ramnit.Qwhl |
| RiskLevel | String | 风险等级 RISK_CRITICAL, RISK_HIGH, RISK_MEDIUM, RISK_LOW, RISK_NOTICE。 注意:此字段可能返回 null,表示取不到有效值。 示例值:RISK_CRITICAL |
| ContainerName | String | 容器名称 注意:此字段可能返回 null,表示取不到有效值。 示例值:/pedantic_agnesi |
| ContainerId | String | 容器id 注意:此字段可能返回 null,表示取不到有效值。 示例值:d4c43f9268ecea2aa75b26632299df8aaf496af54e391f94ebcc62d7b2435105 |
| HostName | String | 主机名称 注意:此字段可能返回 null,表示取不到有效值。 示例值:test-instance |
| HostId | String | 主机id 注意:此字段可能返回 null,表示取不到有效值。 示例值:dc56fda9-58c8-4c4f-9e8c-b7296836c1fe |
| ProcessName | String | 进程名称 注意:此字段可能返回 null,表示取不到有效值。 示例值:sshd |
| ProcessPath | String | 进程路径 注意:此字段可能返回 null,表示取不到有效值。 示例值:/usr/bin/sshd |
| ProcessMd5 | String | 进程md5 注意:此字段可能返回 null,表示取不到有效值。 示例值:965c55c5-8ab1-4e32-8425-4c44acb5edec |
| ProcessId | Integer | 进程id 注意:此字段可能返回 null,表示取不到有效值。 示例值:1011 |
| ProcessArgv | String | 进程参数 注意:此字段可能返回 null,表示取不到有效值。 示例值:-port 3300 |
| ProcessChan | String | 进程链 注意:此字段可能返回 null,表示取不到有效值。 |
| ProcessAccountGroup | String | 进程组 注意:此字段可能返回 null,表示取不到有效值。 |
| ProcessStartAccount | String | 进程启动用户 注意:此字段可能返回 null,表示取不到有效值。 示例值:root |
| ProcessFileAuthority | String | 进程文件权限 注意:此字段可能返回 null,表示取不到有效值。 |
| SourceType | Integer | 来源:0:一键扫描, 1:定时扫描 2:实时监控 注意:此字段可能返回 null,表示取不到有效值。 示例值:0 |
| Tags | Array of String | 标签 注意:此字段可能返回 null,表示取不到有效值。 示例值:[] |
| HarmDescribe | String | 事件描述 注意:此字段可能返回 null,表示取不到有效值。 示例值:蠕虫病毒Ramnit最早出现在2010年,至今已有8年之久,因传播力强而“闻名于世”。Ramnit蠕虫病毒通过被感染的EXE、DLL、HTML、HTM文件传播,在正常电脑打开这些染毒文件时会导致新的感染发生。同时,Ramnit蠕虫病毒还会通过浏览器访问网页、写入U盘移动硬盘,创建U盘自启动等方式进行蠕虫式传播。 |
| SuggestScheme | String | 建议方案 注意:此字段可能返回 null,表示取不到有效值。 示例值:1.在病毒尚未完全清理干净之前,暂时关闭系统文件共享功能 ,防止感染范围进一步扩大; |
| Mark | String | 备注 注意:此字段可能返回 null,表示取不到有效值。 示例值:just for test |
| FileName | String | 风险文件名称 注意:此字段可能返回 null,表示取不到有效值。 示例值:a |
| FileMd5 | String | 文件MD5 注意:此字段可能返回 null,表示取不到有效值。 示例值:81a7701a194c3a1179cfe4a7ac836626 |
| EventType | String | 事件类型 注意:此字段可能返回 null,表示取不到有效值。 示例值:恶意文件告警 |
| PodName | String | 集群名称 注意:此字段可能返回 null,表示取不到有效值。 示例值:web-node1 |
| Status | String | DEAL_NONE:文件待处理 DEAL_IGNORE:已经忽略 DEAL_ADD_WHITELIST:加白 DEAL_DEL:文件已经删除 DEAL_ISOLATE:已经隔离 DEAL_ISOLATING:隔离中 DEAL_ISOLATE_FAILED:隔离失败 DEAL_RECOVERING:恢复中 DEAL_RECOVER_FAILED: 恢复失败 注意:此字段可能返回 null,表示取不到有效值。 示例值:DEAL_NONE |
| SubStatus | String | 失败子状态: FILE_NOT_FOUND:文件不存在 FILE_ABNORMAL:文件异常 FILE_ABNORMAL_DEAL_RECOVER:恢复文件时,文件异常 BACKUP_FILE_NOT_FOUND:备份文件不存在 CONTAINER_NOT_FOUND_DEAL_ISOLATE:隔离时,容器不存在 CONTAINER_NOT_FOUND_DEAL_RECOVER:恢复时,容器不存在 注意:此字段可能返回 null,表示取不到有效值。 示例值:FILE_NOT_FOUND |
| HostIP | String | 内网ip 注意:此字段可能返回 null,表示取不到有效值。 示例值:10.0.0.11 |
| ClientIP | String | 外网ip 注意:此字段可能返回 null,表示取不到有效值。 示例值:11.0.1.11 |
| PProcessStartUser | String | 父进程启动用户 注意:此字段可能返回 null,表示取不到有效值。 示例值:root |
| PProcessUserGroup | String | 父进程用户组 注意:此字段可能返回 null,表示取不到有效值。 示例值:root |
| PProcessPath | String | 父进程路径 注意:此字段可能返回 null,表示取不到有效值。 |
| PProcessParam | String | 父进程命令行参数 注意:此字段可能返回 null,表示取不到有效值。 |
| AncestorProcessStartUser | String | 祖先进程启动用户 注意:此字段可能返回 null,表示取不到有效值。 |
| AncestorProcessUserGroup | String | 祖先进程用户组 注意:此字段可能返回 null,表示取不到有效值。 |
| AncestorProcessPath | String | 祖先进程路径 注意:此字段可能返回 null,表示取不到有效值。 |
| AncestorProcessParam | String | 祖先进程命令行参数 注意:此字段可能返回 null,表示取不到有效值。 |
| OperationTime | String | 事件最后一次处理的时间 注意:此字段可能返回 null,表示取不到有效值。 |
| ContainerNetStatus | String | 容器隔离状态 注意:此字段可能返回 null,表示取不到有效值。 |
| ContainerNetSubStatus | String | 容器隔离子状态 注意:此字段可能返回 null,表示取不到有效值。 |
| ContainerIsolateOperationSrc | String | 容器隔离操作来源 注意:此字段可能返回 null,表示取不到有效值。 |
| CheckPlatform | Array of String | 检测平台 1: 云查杀引擎 2: tav 3: binaryAi 4: 异常行为 5: 威胁情报 注意:此字段可能返回 null,表示取不到有效值。 示例值:["VDC"] |
| FileAccessTime | String | 文件访问时间 注意:此字段可能返回 null,表示取不到有效值。 示例值:2006-01-02 15:04:05 |
| FileModifyTime | String | 文件修改时间 注意:此字段可能返回 null,表示取不到有效值。 示例值:2006-01-02 15:04:05 |
| NodeSubNetID | String | 节点子网ID |
| NodeSubNetName | String | 节点子网名称 |
| NodeSubNetCIDR | String | 节点子网网段 |
| ClusterID | String | 集群id |
| PodIP | String | pod ip |
| PodStatus | String | pod状态 |
| NodeUniqueID | String | 节点唯一ID |
| NodeType | String | 节点类型:NORMAL普通节点、SUPER超级节点 |
| NodeID | String | 节点ID |
| ClusterName | String | 集群名称 |
| Namespace | String | Namespace |
| WorkloadType | String | 工作负载类型 |
| RequestId | String | 唯一请求 ID,由服务端生成,每次请求都会返回(若请求因其他原因未能抵达服务端,则该次请求不会获得 RequestId)。定位问题时需要提供该次请求的 RequestId。 |
4. 示例
示例1 运行时查询木马文件信息
运行时查询木马文件信息
输入示例
POST / HTTP/1.1
Host: tcss.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeVirusDetail
<公共请求参数>
{
"Id": "dskaldjskld"
}输出示例
{
"Response": {
"AncestorProcessParam": "-",
"AncestorProcessPath": "-",
"AncestorProcessStartUser": "-",
"AncestorProcessUserGroup": "",
"CheckPlatform": [
"VDC",
"TAV"
],
"ClientIP": "106.55.163.111",
"ClusterID": "",
"ClusterName": "",
"ContainerId": "d4c43f9268ecea2aa75b26632299df8aaf496af54e391f94ebcc62d7b2435105",
"ContainerIsolateOperationSrc": "运行时安全/文件查杀",
"ContainerName": "/pedantic_agnesi",
"ContainerNetStatus": "ISOLATED",
"ContainerNetSubStatus": "NONE",
"CreateTime": "2024-08-27T03:30:37Z",
"EventType": "恶意文件告警",
"FileAccessTime": "2018-02-28T07:45:34Z",
"FileMd5": "81a7701a194c3a1179cfe4a7ac836626",
"FileModifyTime": "2018-02-28T07:45:34Z",
"FileName": "specimen_a1193b5c213b17cfc7fd",
"FilePath": "/home/virus/specimen_a1193b5c213b17cfc7fd",
"HarmDescribe": "蠕虫病毒Ramnit最早出现在2010年,至今已有8年之久,因传播力强而“闻名于世”。Ramnit蠕虫病毒通过被感染的EXE、DLL、HTML、HTM文件传播,在正常电脑打开这些染毒文件时会导致新的感染发生。同时,Ramnit蠕虫病毒还会通过浏览器访问网页、写入U盘移动硬盘,创建U盘自启动等方式进行蠕虫式传播。",
"HostIP": "172.16.0.34",
"HostId": "dc56fda9-58c8-4c4f-9e8c-b7296836c1fe",
"HostName": "稳定性监控_ivon",
"ImageId": "sha256:80beff5ff34259ceb7fbe9cd10b2d94912618f5b5595f234349c5bb0cd4f9211",
"ImageName": "centos:7",
"Mark": "just for test",
"ModifyTime": "2024-10-21T06:42:49Z",
"Namespace": "",
"NodeID": "",
"NodeSubNetCIDR": "",
"NodeSubNetID": "",
"NodeSubNetName": "",
"NodeType": "NORMAL",
"NodeUniqueID": "wer41324-18a1-4775-9e3f-cdfc89845157",
"OperationTime": "2024-08-27T03:30:37Z",
"PProcessParam": "-",
"PProcessPath": "-",
"PProcessStartUser": "-",
"PProcessUserGroup": "",
"PodIP": "",
"PodName": "/",
"PodStatus": "",
"ProcessAccountGroup": "",
"ProcessArgv": "-",
"ProcessChan": "-",
"ProcessFileAuthority": "-",
"ProcessId": 0,
"ProcessMd5": "-",
"ProcessName": "",
"ProcessPath": "-",
"ProcessStartAccount": "-",
"RequestId": "dc56fda9-58c8-4c4f-9e8c-b7296836c1f1",
"RiskLevel": "RISK_CRITICAL",
"Size": 332155,
"SourceType": 0,
"Status": "DEAL_NONE",
"SubStatus": "FILE_NOT_FOUND",
"SuggestScheme": "1.在病毒尚未完全清理干净之前,暂时关闭系统文件共享功能 ,防止感染范围进一步扩大;\n2.检查恶意进程及非法端口,删除可疑的启动项和定时任务;\n3.隔离或者删除相关的木马文件;\n4.对系统进行风险排查,并进行安全加固,详情可参考如下链接: \n【Linux】https://cloud.tencent.com/document/product/296/9604 \n【Windows】https://cloud.tencent.com/document/product/296/9605",
"Tags": [
"ramnit",
"Worm",
"窃取用户信息,感染用户本地所有的html、exe、dll等格式的文件。"
],
"VirusName": "Win32.Virus.Ramnit.Qwhl",
"WorkloadType": ""
}
}5. 开发者资源
腾讯云 API 平台
腾讯云 API 平台 是综合 API 文档、错误码、API Explorer 及 SDK 等资源的统一查询平台,方便您从同一入口查询及使用腾讯云提供的所有 API 服务。
API Inspector
用户可通过 API Inspector 查看控制台每一步操作关联的 API 调用情况,并自动生成各语言版本的 API 代码,也可前往 API Explorer 进行在线调试。
SDK
云 API 3.0 提供了配套的开发工具集(SDK),支持多种编程语言,能更方便的调用 API。
- Tencent Cloud SDK 3.0 for Python: GitHub Gitee
- Tencent Cloud SDK 3.0 for Java: GitHub Gitee
- Tencent Cloud SDK 3.0 for PHP: GitHub Gitee
- Tencent Cloud SDK 3.0 for Go: GitHub Gitee
- Tencent Cloud SDK 3.0 for Node.js: GitHub Gitee
- Tencent Cloud SDK 3.0 for .NET: GitHub Gitee
- Tencent Cloud SDK 3.0 for C++: GitHub Gitee
- Tencent Cloud SDK 3.0 for Ruby: GitHub Gitee
命令行工具
6. 错误码
以下仅列出了接口业务逻辑相关的错误码,其他错误码详见 公共错误码。
| 错误码 | 描述 |
|---|---|
| InternalError | 内部错误。 |
| InternalError.MainDBFail | 操作数据库失败。 |
| InvalidParameter | 参数错误。 |
| ResourceNotFound | 资源不存在。 |
