En fil som sätts i karantän av Forefront Endpoint Protection 2010 (FEP 2010) eller System Center 2012 Endpoint Protection (SSTEG 2012) kan återställas till en alternativ plats med hjälp av kommandoradsverktyget MPCMDRUN. Syntaxen förklaras nedan:
-Återställ
-ListAll
Lista alla objekt som har satts i karantän
-Name <name>
Återställer det senast i karantän-objektet baserat på hotnamn. Ett hot kan mappa till fler än en fil
-Alla
Återställer alla objekt i karantän baserat på namn
-Path
Ange sökvägen till de objekt i karantän som ska återställas. Om det inte anges återställs objektet till den ursprungliga sökvägen.
Exempel på syntax:
Mpcmdrun –restore -name -path
där -namn är hotnamnet, inte namnet på filen som ska återställas.
Saker att komma ihåg:
-
När du försöker återställa en fil kan du bara återställa med "hotnamn", inte med filnamnet!
-
Återställningsresultaten blir att alla filer i karantänen som har samma hotnamn återställs.
-
Det går inte att återställa en enda fil.
-
"Hotnamn" är det ärendekänsliga.
Till exempel:
Threatname = RemoteAccess:Win32/RealVNC
Den här syntaxen är korrekt:MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
Den här syntaxen är inte korrekt och fungerar inte: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
OBS! Om du vill veta exakt stavningen av ett namn på ett hot kan du använda följande syntax för att generera listan med namn på hot som finns i karantänmappen:
Mpcmdrun –Restore –ListAll
Exempel på utdata:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)