Forefront Endpoint Protection 2010 (FEP 2010) veya System Center 2012 Uç Nokta Koruması (SCEP 2012) tarafından karantinaya alınmış bir dosya, MPCMDRUN komut satırı aracı kullanılarak alternatif bir konuma geri yüklenebilir. Söz dizimi aşağıda açıklanmıştır:
-Geri Yükleme
-ListAll
Karantinaya alınmış tüm öğeleri listele
-Name <name>
Tehdit adı temel alınarak en son karantinaya alınan öğeyi geri yükleme. Bir tehdit birden çok dosyaya eş olabilir
-All
Karantinaya alınmış tüm öğeleri adına göre geri yükleme
-Yol
Karantinaya alınmış öğelerin geri yüklenecek yolu belirtin. Belirtilmezse, öğe özgün yoluna geri yüklenir.
Örnek söz dizimi:
Mpcmdrun –restore -name -path
burada -name, geri yüklemek istediğiniz dosyanın adı değil tehdit adıdır.
Anımsayacak şeyler:
-
Bir dosyayı geri yüklemek için dosya adıyla değil, yalnızca "tehdit adıyla" geri yükleyebilirsiniz!
-
Geri yükleme sonuçlarınız, karantinada aynı tehdit adına sahip olan tüm dosyaların geri yüklenir olmasıdır.
-
Tek bir dosyayı geri yüklemenin hiçbir yöntemi yoktur.
-
"Tehdit adı", büyük/harfe duyarlıdır.
Örneğin:
Threatname = RemoteAccess:Win32/RealVNC
Bu söz dizimi doğrudur: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
Bu söz dizimi doğru değildir ve çalışmaz: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
NOT: Tehdit adının tam yazımını bilmek için, aşağıdaki söz dizimini kullanarak şu anda karantina klasöründe bulunan tehdit adları listesini oluşturun:
Mpcmdrun –Restore –ListAll
Örnek Çıkış:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)