Um ficheiro em quarentena pela Forefront Endpoint Protection 2010 (FEP 2010) ou pelo System Center 2012 Endpoint Protection (SCEP 2012) pode ser restaurado para uma localização alternativa utilizando a ferramenta de linha de comando MPCMDRUN. A sintaxe é explicada abaixo:
-Restaurar
-ListAll
Listar todos os itens que foram colocados em quarentena
-Nome <nome>
Restaura o item mais recentemente colocado em quarentena com base no nome da ameaça. Uma ameaça pode mapear para mais de um ficheiro
- Todos
Restaura todos os itens em quarentena com base no nome
- Caminho
Especifique o caminho onde os itens em quarentena serão restaurados. Se não for especificado, o item será restaurado para o caminho original.
Sintaxe da amostra:
Mpcmdrun –restaurar -nome -caminho
onde o nome é o nome da ameaça, não o nome do ficheiro para restaurar.
Coisas para lembrar:
-
Ao tentar restaurar um ficheiro só pode restaurar com "nome de ameaça", e não pelo nome do ficheiro!
-
Os resultados da sua restauração serão que todos os ficheiros da quarentena que têm o mesmo nome de ameaça sejam restaurados.
-
Não há método para restaurar apenas um único ficheiro.
-
O "nome da ameaça" é sensível a casos.
Por exemplo:
Nome de ameaça = RemoteAccess:Win32/RealVNC
Esta sintaxe está correta: MpCmdRun.exe -Restaurar -Nome RemoteAccess:Win32/RealVNC
Esta sintaxe não está correta e não funcionará: MpCmdRun.exe -Restaurar -Nome RemoteAccess:Win32/reallvnc
NOTA: Para saber a ortografia exata de um nome de ameaça, utilize a seguinte sintaxe para gerar a lista de nomes de ameaças atualmente na pasta de quarentena:
Mpcmdrun –Restaurar –ListAll
Saída da amostra:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)