3

У меня есть файл, который Security Essentials помещает в карантин "на месте", и я хочу восстановить его для дальнейшего анализа.

Тем не менее, файл был сохранен на моем сервере NAS. Это означает, что я получил доступ к серверу, введя \\192.168.1.5 в поле «Выполнить», введя учетные данные и перейдя к папке. Security Essentials удалил элемент и сохранил его в карантине. Я не могу восстановить элемент из карантина с кодом ошибки 0x80508014 .

Мои исследования показывают, что эта ошибка указывает, что SE не может получить доступ к пути, в котором находился исходный файл, и предлагает воссоздать путь. Проблема в том, что я не удалил никаких папок, поэтому путь уже существует. Дальнейшее копание указывает на то, что проблема в том, что SE не может получить доступ к общему сетевому ресурсу, потому что общий ресурс подключен к сеансу моей учетной записи пользователя, а не к SYSTEM или администратору. SE перечисляет путь к исходному файлу в деталях в виде file:\\192.168.1.5\storage\research\file.exe , поэтому кажется, что SE пытается напрямую восстановить файл в этом месте и не может этого сделать, потому что Процесс SE не имеет доступа к общему ресурсу.

Я попытался открыть командную строку администратора и вручную подключить сетевой ресурс к сеансу администратора, используя net use но это не помогло.

Есть ли способ направить SE для восстановления файла на карантине в другое место, чем он был изначально найден? Я не вижу способа предоставить процессу SE доступ к общему сетевому ресурсу, чтобы он мог восстановить файл.

|источник

2 ответа2

4

Я столкнулся с подобной проблемой, когда Защитник Windows 10 помещал на карантин некоторые файлы из моей коробки NAS.

В командной строке (открытой как администратор) я смог использовать инструмент командной строки, чтобы вывести список помещенных в карантин файлов:

c:\Program Files\Windows Defender>MpCmdRun.exe -restore -listall

The following items are quarantined:

XXX
XXX

Затем я использовал опцию -restore вместе с -Path, чтобы восстановить локальный путь:

c:\Program Files\Windows Defender>MpCmdRun.exe -restore -All -Path C:\Path\To\Restore

После этого я смог скопировать файлы обратно на сетевой диск (который теперь находится в списке исключений!).

|источник
0

Когда вы запустили команду net use из командной строки администратора, вы также запустили / запустили интерфейс SE из этой командной строки?

net use \\192.168.1.5\ipc$ /user:username pwd
net use \\192.168.1.5\storage /user:username pwd
"C:\Program Files\Microsoft Security Client\msseces.exe"

По моему опыту это необходимо, потому что процесс SE должен работать не только с тем же идентификатором пользователя, но и с тем же сеансом. Если вы запустите net use из административной командной строки, это может не повлиять на административное приложение SE, если SE был запущен отдельно от командной строки.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .