通过 Forefront Endpoint Protection 2010 (FEP 2010) 或 System Center 2012 Endpoint Protection (SCEP 2012) 隔离的文件可能通过使用 MPCMDRUN 命令行工具还原到备用位置。 语法如下所述:
-Restore
-ListAll
列出已隔离的所有项目
-Name <name>
根据威胁名称还原最近隔离的项目。 一个威胁可以映射到多个文件
-All
根据名称还原所有隔离项
-Path
指定要还原隔离项的路径。 如果未指定,该项将还原到原始路径。
示例语法:
Mpcmdrun – restore -name -path
其中-name是威胁名称,而不是要还原的文件的名称。
需要记住的事情:
-
尝试还原文件时,只能按"威胁名称"还原,不能按文件名还原!
-
还原结果是隔离区中具有相同的威胁名称的所有文件都会还原。
-
无法仅还原单个文件。
-
"威胁名称"区分大小写。
例如:
Threatname = RemoteAccess:Win32/RealVNC
此语法正确 :MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
此语法不正确且不起作用:MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
注意:若要了解威胁名称的确切拼写,请使用以下语法生成隔离文件夹中当前的威胁名称列表:
Mpcmdrun –Restore –ListAll
示例输出:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)