我有一个被 Security Essentials “当场”隔离的文件,我想将其恢复以进行进一步的分析。
但是,该文件存储在我的 NAS 服务器上。这意味着我通过进入\\192.168.1.5“运行”框、输入凭据并浏览到文件夹来访问服务器。Security Essentials 删除了该项目并将其存储在隔离区中。我无法从隔离区恢复该项目,错误代码为0x80508014。
我的研究表明,此错误表明 SE 无法访问原始文件所在的路径,并建议重新创建该路径。问题是我没有删除任何文件夹,因此该路径已经存在。进一步挖掘似乎表明问题在于 SE 无法访问网络共享,因为该共享连接到我的用户帐户会话,而不是 SYSTEM 或管理员。SE 在详细信息中将原始文件的路径列为file:\\192.168.1.5\storage\research\file.exe,因此 SE 似乎正在尝试将文件直接还原到此位置,但无法这样做,因为 SE 进程无权访问共享连接。
我尝试打开管理员命令提示符并手动将网络共享连接到管理员的会话,net use但这没有帮助。
有没有办法指示 SE 将隔离文件恢复到与最初发现文件不同的位置?我找不到任何方法可以让 SE 进程访问网络共享,以便恢复文件。
答案1
当 Windows 10 Defender 从我的 NAS 盒中隔离某些文件时,我遇到了类似的问题。
在命令提示符(以管理员身份打开)中,我能够使用命令行工具列出被隔离的文件:
c:\Program Files\Windows Defender>MpCmdRun.exe -restore -listall
The following items are quarantined:
XXX
XXX
然后我使用 -restore 选项和 -Path 恢复到本地路径:
c:\Program Files\Windows Defender>MpCmdRun.exe -restore -All -Path C:\Path\To\Restore
之后,我可以将文件复制回我的网络驱动器(现在在排除列表中!)。
答案2
当您从管理命令提示符运行net use命令时,您是否也从该命令提示符运行/启动 SE 界面?
net use \\192.168.1.5\ipc$ /user:username pwd
net use \\192.168.1.5\storage /user:username pwd
"C:\Program Files\Microsoft Security Client\msseces.exe"
根据我的经验,这是必需的,因为 SE 进程不仅必须在相同的用户 ID 下运行,而且必须在相同的会话下运行。如果您net use从管理命令提示符运行,如果 SE 是从命令提示符单独启动的,则可能不会对管理 SE 应用程序产生任何影响。