windows defender的“隔离”是将可疑文件加密存入受控临时区域而非彻底删除,用户可通过安全中心、mpcmdrun命令、手动访问quarantine目录、回收站或添加排除项五种方式查看并恢复。
如果您发现Windows系统中的文件被杀毒软件自动移除,但并未彻底删除,而是转入一个受控的临时存储区域,则该行为即为“隔离”。Windows Defender(现为Microsoft Defender)默认启用此机制,将可疑文件加密存放于隔离区,保留恢复可能性。以下是查看隔离区并恢复文件的具体操作方法:
一、通过Windows安全中心图形界面查看并恢复隔离文件
此方法为微软官方推荐的标准操作流程,全程在受控图形界面中完成,可安全执行恢复或删除动作,避免因权限误配或路径错误引发系统异常。
1、点击任务栏右下角的盾牌图标,直接打开Windows安全中心;若图标未显示,可在开始菜单搜索“Windows 安全”并启动应用。
2、在主界面左侧导航栏中,选择“病毒和威胁防护”选项。
3、向下滚动至“当前威胁”区域,点击“保护历史记录”右侧的“查看完整历史记录”链接。
4、进入“保护历史记录”页面后,在顶部筛选器下拉菜单中选择“已隔离的项目”。
5、列表将显示所有被隔离文件的名称、类型、隔离时间及原始位置;选中目标条目后,点击“还原”按钮即可将其恢复至原始路径,或点击“删除”按钮永久清除。
二、使用命令提示符调用MpCmdRun工具查询隔离项
该方式适用于需批量识别、脚本化处理或图形界面响应异常时的替代方案,命令输出包含文件哈希、路径及隔离状态等底层信息,无需依赖UI渲染。
1、以管理员身份运行命令提示符:在开始菜单搜索“cmd”,右键“命令提示符”,选择“以管理员身份运行”。
2、在命令行中输入以下完整命令并按回车执行:"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -GetFiles。
3、等待命令返回结果,屏幕上将逐行列出所有被隔离文件的绝对路径、隔离时间戳及当前状态标识。
4、如需进一步导出结果以便分析,可在命令末尾追加> C:\defender_quarantine_list.txt将输出保存为文本文件。
三、手动访问隔离文件物理存储目录
Windows Defender实际将隔离文件加密存放于系统隐藏目录中,该路径可用于确认隔离行为是否生效,或配合第三方工具进行离线审计,但禁止直接修改或解密其中内容。
1、打开文件资源管理器,在地址栏中粘贴并跳转至路径:C:\ProgramData\Microsoft\Windows Defender\Quarantine。
2、若目录为空或无法访问,请确认“ProgramData”文件夹可见性已开启,并确保当前账户具备系统管理员权限。
3、该目录下存在多个子文件夹与加密文件,其命名不含原始文件名,仅含哈希标识,因此不可通过此目录直接复制或重命名恢复文件。
四、检查系统回收站确认是否被常规删除
部分第三方杀毒软件或用户手动删除操作可能绕过隔离机制,直接将文件送入回收站,此时恢复无需依赖杀软界面。
1、在桌面找到“回收站”图标,双击打开;或在文件资源管理器中展开对应驱动器(如C:),定位并双击“$Recycle.Bin”或“回收站”文件夹。
2、浏览回收站内容,注意查看文件原始路径与删除时间,筛选疑似目标。
3、右键单击目标文件,选择“还原”;若需批量恢复,可按住Ctrl键多选后右键执行统一还原操作。
五、从杀毒软件信任设置中排除特定文件或路径
若某文件反复被误隔离,可通过添加排除项阻止后续扫描动作,为恢复提供前置保障。
1、进入Windows安全中心 → “病毒和威胁防护” → “管理设置” → “添加或删除排除项”。
2、点击“添加排除项”,选择“文件”、“文件夹”、“文件类型”或“进程”。
3、浏览并选中需保护的文件或所在文件夹,确认添加;此后该路径下的内容将不再被实时扫描或自动隔离。
4、添加排除项后,可再次尝试从隔离区还原该文件;若此前已被标记为“已删除”状态,则无法恢复。
