A Forefront Endpoint Protection 2010 (FEP 2010) vagy a System Center 2012 Endpoint Protection (SCEP 2012) által karanténba helyezett fájlok visszaállíthatóak egy másik helyre az MPCMDRUN parancssori eszközzel. A szintaxist alább ismertetjük:
-Restore
-ListAll
A karanténba helyezett összes elem felsorolása
-Name <name>
Visszaállítja a legutóbb karanténban helyezett elemet a veszélyforrás neve alapján. Egy veszélyforrás több fájlra is leképezhet
-All
Az összes karanténban lévő elem visszaállítása név alapján
-Path
Adja meg a karanténban lévő elemek visszaállításának elérési útját. Ha nincs megadva, az elem visszaáll az eredeti elérési útra.
Példaszintaxis:
Mpcmdrun –restore -name -path
ahol -name a veszélyforrás neve, nem pedig a visszaállítani kívánt fájl neve.
A következő dolgokat kell megjegyezni:
-
Amikor megpróbál visszaállítani egy fájlt, csak a "veszélyforrás neve" nevet használhatja a visszaállításhoz, a fájlnév alapján nem!
-
A visszaállítás eredménye az lesz, hogy a karanténban lévő összes, azonos veszélyforrásnévvel bíró fájlt visszaállítja a rendszer.
-
Egyetlen fájlt nem lehet visszaállítani.
-
A "veszélyforrás neve" megkülönbözteti a kis- és nagybetűket.
Például:
Threatname = RemoteAccess:Win32/RealVNC
Ez a szintaxis helyes: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
Ez a szintaxis helytelen, és nem működik: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
MEGJEGYZÉS: A veszélyforrások nevének pontos helyesírását a következő szintaxissal hozhatja létre a karanténmappában szereplő veszélyforrás-nevek listájának létrehozásához:
Mpcmdrun –Restore –ListAll
Mintakimenet:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)