被windows defender隔离的文件未被删除,可通过四种方式恢复:一、安全中心图形界面操作;二、mpcmdrun命令行工具;三、powershell调用defender模块;四、手动访问quarantine路径提取副本。
如果您发现文件被Windows Defender自动移除且无法在原位置找到,则这些文件很可能已被移入系统隔离区。隔离区是Windows Defender用于临时存放可疑文件的安全存储区域,文件未被永久删除,仍可通过多种方式恢复。以下是具体操作流程:
一、通过Windows安全中心图形界面恢复
该方法利用系统内置的安全中心应用,提供可视化操作界面,适合所有用户快速定位并还原被隔离的文件。
1、点击任务栏右下角的盾牌图标,直接打开Windows安全中心;或按下Win + S键,在搜索栏输入“Windows 安全中心”后点击打开。
2、在安全中心主界面左侧导航栏中,点击“病毒和威胁防护”选项。
3、向下滚动至“当前威胁”区域,点击“保护历史记录”下方的“查看完整历史记录”链接。
4、在历史记录页面顶部,点击“筛选器”下拉菜单,选择“已隔离”状态。
5、浏览列表,根据文件名、隔离时间或原始路径识别目标条目;勾选该条目后,点击上方“还原”按钮。
6、系统弹出确认窗口时,点击“是”,文件将自动返回其原始保存位置。
二、使用MpCmdRun命令行工具恢复
MpCmdRun.exe是Windows Defender官方提供的命令行扫描与管理工具,可绕过图形界面限制,直接调用底层隔离数据库执行还原操作,适用于界面异常或批量处理场景。
1、在任务栏搜索框中输入“cmd”,在搜索结果中右键点击“命令提示符”,选择“以管理员身份运行”。
2、在命令提示符窗口中输入以下命令并回车,列出全部被隔离项目:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -ListAll
3、在返回结果中查找目标文件对应的ThreatName(如“Trojan:Win32/Bluteal.A!”)或原始文件路径。
4、执行还原命令,将ThreatName替换为实际值:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name "ThreatName"
5、若命令执行成功,窗口将显示“Successfully restored”提示;请立即前往原路径验证文件是否存在。
三、通过PowerShell调用Defender模块还原
PowerShell结合Microsoft.PowerShell.Defender模块可实现更精细的威胁项控制,尤其适用于图形界面加载失败、权限异常或需按检测时间筛选的场景。
1、右键点击“开始”按钮,选择“Windows PowerShell(管理员)”。
2、输入命令:
Get-MpThreatDetection | Where-Object {$_.ThreatStatus -eq 'Isolated'} | Format-List
3、回车后查看输出内容,记录目标项的ThreatID字段值(形如“12345678-90ab-cdef-ghij-klmnopqrst”)。
4、执行还原指令:
Restore-MpThreat -ThreatID "12345678-90ab-cdef-ghij-klmnopqrst"
5、命令无报错即表示操作成功;建议随后检查原文件夹及隔离历史记录是否同步更新。
四、手动访问隔离文件存储路径提取副本
隔离文件物理存放于系统受保护目录中,虽经加密封装不可直接运行,但支持导出副本供人工审查或哈希比对,适用于安全分析需求。
1、在“保护历史记录”中筛选出“已隔离”项目后,右键点击目标条目,选择“显示详细信息”。
2、在弹出窗口中查找“隔离路径”字段,通常指向:
C:\ProgramData\Microsoft\Windows Defender\Quarantine
3、打开文件资源管理器,点击顶部“查看”选项卡,勾选“隐藏的项目”。
4、在地址栏粘贴上述路径并回车;若提示权限不足,点击“继续”获取所有权。
5、路径内文件扩展名为.vdm 或 .vbn,需使用Defender专用解包机制处理,不建议手动修改或复制。
