与 Detection and Response 解决方案集成时,您可以在命令行上使用隔离区管理命令来执行以下操作:
恢复受感染的文件可能会导致设备感染。
隔离文件
要隔离文件,请运行以下命令:
kesl-control [-Q] --put <文件路径> [--md5] [--sha256] [--save-original-file]
其中:
<文件路径> 是要隔离的文件的路径。--md5 是您要隔离的文件的 MD5 哈希值。--sha256 是您要隔离的文件的 SHA256 哈希值。--save-original-file 保留原始文件。如果不指定此选项,则原始文件将被删除。仅当与 Kaspersky Endpoint Detection and Response Optimum 集成时,您才可以使用此命令。
查看有关隔离文件的信息
要查看有关隔离文件的信息,请运行以下命令:
kesl-control -Q --query ["<筛选条件>"] [-n <数量>] [--json]
其中:
<筛选条件>:一个或多个逻辑表达式,格式为 <字段><比较运算符>'<值>',结合逻辑运算符 and 来限制结果。如果您不指定任何筛选条件,应用程序将显示隔离文件的详细信息。<number> 是要显示的最近隔离文件的数量。如果您不指定 -n选项,则会显示最后 30 个文件。指定 0 则显示所有文件。--json:以 JSON 格式输出数据。ObjectId 行显示应用程序在隔离对象时分配给该对象的数字标识符。此 ID 用于对文件执行操作,例如还原文件或将其从隔离区中删除。
从隔离区恢复文件
要将文件以原始名称从隔离区恢复到其原始位置,请执行以下命令:
kesl-control -Q --restore <对象 ID>
其中 <object ID> 是应用程序在隔离文件时分配给文件的数字 ID。
要将文件以新名称从隔离区恢复到指定目录,请执行以下命令:
kesl-control -Q --restore <对象 ID> --file <文件路径>
其中 --file <文件路径> 是文件的新名称和要将文件保存到其中的目录的路径。
如果目录被删除或者用户没有访问权限,应用程序会将文件放在 /var/opt/kaspersky/kesl/common/restored/ 目录中。您可以手动将文件从该目录移动到您选择的目录。
从隔离区中删除文件
要从隔离区中删除选定的文件,请运行以下命令:
kesl-control -Q --mass-remove --query "<筛选条件>"
其中 <筛选条件> 是一个或多个逻辑表达式,格式为 <字段> <比较运算符> ‘<值>’,结合逻辑运算符 and 来限制结果。
|
例如: 要删除名称或路径中包含“test”的文件:
|
要从隔离区中删除所有文件,请运行以下命令:
kesl-control -Q --mass-remove