Plik poddany kwarantannie przez program Forefront Endpoint Protection 2010 (FEP 2010) lub system Center 2012 Endpoint Protection (SCEP 2012) może zostać przywrócony w alternatywnej lokalizacji za pomocą narzędzia wiersza polecenia MPCMDRUN. Poniżej wyjaśniono składnię:
— Przywróć
— ListAll
Lista wszystkich elementów poddanych kwarantannie
— Nazwa <nazwy>
Przywraca ostatnio poddany kwarantannie element na podstawie nazwy zagrożenia. Jedno zagrożenie może zamapować na więcej niż jeden plik
— Wszystko
Przywracanie wszystkich elementów poddanych kwarantannie na podstawie nazwy
— Ścieżka
Określ ścieżkę, do której elementy poddane kwarantannie zostaną przywrócone. Jeśli nie zostanie określony, element zostanie przywrócony do oryginalnej ścieżki.
Przykładowa składnia:
Mpcmdrun –restore -name -path
where -name to nazwa zagrożenia, a nie nazwa pliku do przywrócenia.
Warto zapamiętać:
-
Podczas próby przywrócenia pliku można je przywrócić tylko według "nazwy zagrożenia", a nie według nazwy pliku!
-
Wyniki przywracania będą takie, że wszystkie pliki w kwarantannie, które mają taką samą nazwę zagrożenia, zostaną przywrócone.
-
Nie ma metody przywracania tylko jednego pliku.
-
W przypadku "nazwy zagrożenia" jest podróżniana wielkość liter.
Na przyk³ad:
Threatname = RemoteAccess:Win32/RealVNC
Składnia jest poprawna: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
Ta składnia jest poprawna i nie będzie działać: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
UWAGA: Aby poznać dokładną pisownię nazwy zagrożenia, użyj następującej składni, aby wygenerować listę nazw zagrożeń obecnie w folderze kwarantanny:
Mpcmdrun –Restore –ListAll
Przykładowe dane wyjściowe:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)