Основы безопасности: восстановить файл из карантина в другом месте?

1846
fdmillion

У меня есть файл, который Security Essentials помещает в карантин «на месте», и я хочу восстановить его для дальнейшего анализа.

Тем не менее, файл был сохранен на моем сервере NAS. Это означает, что я получил доступ к серверу, войдя \\192.168.1.5в окно «Выполнить», введя учетные данные и просмотрев папку. Security Essentials удалил элемент и сохранил его в карантине. Я не могу восстановить элемент из карантина, с кодом ошибки 0x80508014.

Мои исследования показывают, что эта ошибка указывает, что SE не может получить доступ к пути, в котором находился исходный файл, и предлагает воссоздать путь. Проблема в том, что я не удалил никаких папок, поэтому путь уже существует. Дальнейшее копание указывает на то, что проблема в том, что SE не может получить доступ к общему сетевому ресурсу, потому что общий ресурс подключен к сеансу моей учетной записи пользователя, а не к SYSTEM или администратору. SE перечисляет путь к исходному файлу в деталях как file:\\192.168.1.5\storage\research\file.exe, поэтому кажется, что SE пытается напрямую восстановить файл в этом месте и не может этого сделать, потому что процесс SE не имеет доступа к соединению общего ресурса.

Я попытался открыть командную строку администратора и вручную подключить сетевой ресурс к сеансу администратора, net useно это не помогло.

Есть ли способ направить SE для восстановления файла на карантине в другое место, чем он был изначально найден? Я не вижу способа предоставить процессу SE доступ к общему сетевому ресурсу, чтобы он мог восстановить файл.

3

2 ответа на вопрос

4
Snoophogg

Я столкнулся с подобной проблемой, когда Защитник Windows 10 помещал на карантин некоторые файлы из моей коробки NAS.

В командной строке (открытой как администратор) я смог использовать инструмент командной строки, чтобы вывести список помещенных в карантин файлов:

c:\Program Files\Windows Defender>MpCmdRun.exe -restore -listall  The following items are quarantined:  XXX XXX 

Затем я использовал опцию -restore вместе с -Path, чтобы восстановить локальный путь:

c:\Program Files\Windows Defender>MpCmdRun.exe -restore -All -Path C:\Path\To\Restore 

После этого я смог скопировать файлы обратно на сетевой диск (который теперь находится в списке исключений!).

0
David Woodward

Когда вы запустили net useкоманду из командной строки администратора, вы также запустили / запустили интерфейс SE из этой командной строки?

net use \\192.168.1.5\ipc$ /user:username pwd net use \\192.168.1.5\storage /user:username pwd "C:\Program Files\Microsoft Security Client\msseces.exe" 

По моему опыту это необходимо, потому что процесс SE должен работать не только под тем же идентификатором пользователя, но и с тем же сеансом. Если вы запускаете net useиз командной строки администратора, это может не повлиять на административное приложение SE, если SE был запущен отдельно от командной строки.

Похожие вопросы