ניתן לשחזר קובץ שהוסגר על-ידי Forefront Endpoint Protection 2010 (FEP 2010) או System Center 2012 Endpoint Protection (SCEP 2012) למיקום חלופי באמצעות כלי שורת הפקודה MPCMDRUN. התחביר מוסבר להלן:
-Restore
-ListAll
רשימת כל הפריטים שהועברו להסגר
-name <שם>
שחזור הפריט האחרון שהוסגר בהסגר בהתבסס על שם איום. איום אחד יכול למפות ליותר מקובץ אחד
-All
שחזור כל הפריטים שהועברו להסגר בהתבסס על שם
-Path
ציין את הנתיב שבו ישוחזרו הפריטים שהועברו להסגר. אם לא צוין, הפריט ישוחזר לנתיב המקורי.
תחביר לדוגמה:
Mpcmdrun – restore -name -path
where -name הוא שם האיום, ולא שם הקובץ לשחזור.
דברים שזכורים:
-
בעת ניסיון לשחזר קובץ, באפשרותך לשחזר רק לפי "שם איום", ולא לפי שם הקובץ!
-
תוצאות השחזור יהיו שכל הקבצים בהסגר עם אותו שם איום ישוחזרו.
-
אין שיטה לשחזור קובץ יחיד בלבד.
-
"threat name" הוא תלוי רישיות.
לדוגמה:
Threatname = RemoteAccess:Win32/RealVNC
תחביר זה נכון: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
תחביר זה אינו נכון ולא יפעל: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
הערה: כדי לדעת את האיות המדויק של שם איום, השתמש בתחביר הבא כדי ליצור את רשימת שמות האיומים הנמצאים כעת בתיקיית ההסגר:
Mpcmdrun –Restore –ListAll
פלט לדוגמה:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)