可通过Windows安全中心、MpCmdRun命令或手动访问Quarantine目录查看并恢复被隔离文件:一、在安全中心→病毒和威胁防护→保护历史记录中筛选“已隔离的项目”操作还原;二、管理员运行cmd执行MpCmdRun.exe -GetFiles查询;三、启用隐藏项目后访问C:\ProgramData\Microsoft\Windows Defender\Quarantine目录审计加密隔离文件。
如果您在Windows系统中发现某些文件突然无法访问,且怀疑是被Windows Defender自动拦截并移入隔离区,则可通过系统内置的安全中心界面或底层路径直接定位这些被隔离的项目。以下是查看与恢复被隔离文件的具体操作步骤:
一、通过Windows安全中心图形界面查看并恢复隔离文件
此方法为微软官方推荐的标准操作流程,全程在受控图形界面中完成,可安全执行恢复或删除动作,避免因权限误配或路径错误引发系统异常。
1、点击任务栏右下角的盾牌图标,直接打开Windows安全中心;若图标未显示,可在开始菜单搜索“Windows 安全”并启动应用。
2、在主界面左侧导航栏中,选择“病毒和威胁防护”选项。
3、向下滚动至“当前威胁”区域,点击“保护历史记录”右侧的“查看完整历史记录”链接。
4、进入“保护历史记录”页面后,在顶部筛选器下拉菜单中选择“已隔离的项目”。
5、列表将显示所有被隔离文件的名称、类型、隔离时间及原始位置;选中目标条目后,点击“还原”按钮即可将其恢复至原始路径,或点击“删除”按钮永久清除。
二、使用命令提示符调用MpCmdRun工具查询隔离项
该方式适用于需批量识别、脚本化处理或图形界面响应异常时的替代方案,命令输出包含文件哈希、路径及隔离状态等底层信息,无需依赖UI渲染。
1、以管理员身份运行命令提示符:在开始菜单搜索“cmd”,右键“命令提示符”,选择“以管理员身份运行”。
2、在命令行中输入以下完整命令并按回车执行:"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -GetFiles。
3、等待命令返回结果,屏幕上将逐行列出所有被隔离文件的绝对路径、隔离时间戳及当前状态标识。
4、如需进一步导出结果以便分析,可在命令末尾追加 > C:\defender_quarantine_list.txt 将输出保存为文本文件。
三、手动访问隔离文件物理存储目录
Windows Defender实际将隔离文件加密存放于系统隐藏目录中,该路径可用于确认隔离行为是否生效,或配合第三方工具进行离线审计,但禁止直接修改或解密其中内容。
1、打开文件资源管理器,在地址栏中粘贴并跳转至路径:C:\ProgramData\Microsoft\Windows Defender\Quarantine。
2、若提示“拒绝访问”或目录为空,请先启用“隐藏的项目”:点击顶部“查看”选项卡,勾选“隐藏的项目”复选框。
3、右键单击该Quarantine文件夹,选择“属性”,切换至“安全”选项卡。
4、点击“编辑”按钮,在用户列表中添加当前登录账户,并为其分配“完全控制”权限;若无编辑权限,需先使用管理员账户获取所有权。
5、成功进入后,可见多个以.vdm或.vbn为扩展名的加密文件,其文件名由Defender自动生成,不可读但一一对应原始被隔离对象。
