受 Forefront 端點保護 2010 (FEP 2010) 或 System Center 2012 端點保護 (SCEP 2012) 隔離的檔案,可能會使用 MPCMDRUN 命令列工具還原為替代位置。 語法如下所述:
-還原
-ListAll
列出所有已隔離的專案
-名稱<名稱>
根據威脅名稱還原最近隔離的專案。 一個威脅可以映射至多個檔案
-全部
根據名稱還原所有隔離的專案
-Path
指定要還原隔離專案的路徑。 如果未指定,專案會還原為原始路徑。
範例語法:
Mpcmdrun –restore -name -path
where -name是威脅名稱,而不是要還原的檔案名。
請記住:
-
當您嘗試還原檔案時,只能使用「威脅名稱」來還原,而不是以檔案名還原!
-
還原結果會還原隔離中所有擁有相同威脅名稱的檔案。
-
沒有任何方法只能還原單一檔案。
-
「威脅名稱」會區分大小寫。
例如:
Threatname = RemoteAccess:Win32/RealVNC
此語法正確:MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
此語法不正確且無法使用:MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
注意:若要瞭解威脅名稱的確切拼字,請使用下列語法產生隔離資料夾中目前的威脅名稱清單:
Mpcmdrun –Restore –ListAll
樣本輸出:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)