Kaspersky Sandbox

Действия над объектами на карантине

Чтобы выполнить действия над объектами, находящимися на карантине программы Kaspersky Endpoint Agent через интерфейс командной строки, выполните следующие действия:

1. На рабочей станции запустите интерпретатор командной строки (например, Command Prompt cmd.exe) под учетной записью локального администратора.
2. С помощью команды cd перейдите в ту директорию, в которой находится файл agent.exe.

   Например, вы можете ввести команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажать на клавишу ENTER.

3. Выполните следующие действия и нажмите на клавишу ENTER:
   • Если вы хотите безвозвратно удалить объекты, находящиеся на карантине, выполните команду:

     agent.exe --quarantine=delete --ouid=<идентификаторы объектов на карантине через запятую. Обязательный параметр> [--pwd=<текущий пароль пользователя>].

     Объекты с указанными идентификаторами будут удалены из папки карантина рабочих станций, указанной при настройке параметров карантина.

   • Если вы хотите восстановить объекты из карантина, выполните команду:

     agent.exe --quarantine=restore --ouid=<идентификаторы объектов на карантине через запятую. Обязательный параметр> [--path-type=<один из вариантов выбора папки назначения при восстановлении объекта из карантина: original|custom|settings. Необязательный параметр> --path=<путь к папке назначения для восстановленных объектов. Обязательный параметр, если передан параметр --path-type и указано значение original>] [--action=<одно из действий над объектом: replace|rename. Необязательный параметр>] [--pwd=<текущий пароль пользователя>].

   • Если вы хотите поместить объект на карантин, выполните одну из следующих команд:
     • agent.exe --quarantine=add [--file=<полный путь к объекту, который вы хотите поместить на карантин>] [--pwd=<текущий пароль пользователя>].
     • agent.exe --quarantine=add [--hash=<хеш объекта, который вы хотите поместить на карантин. Обязательный параметр, если вы не указываете полный путь к объекту и передаете параметр --hashalg >]--hashalg=<один из типов хеша: md5|sha256. Обязательный параметр, если вы не указываете полный путь к объекту> [--file=<путь к папке с объектом, который вы хотите поместить на карантин>] [--pwd=<текущий пароль пользователя>].

   Параметры команд при выполнении действий над объектами на карантине

   Параметр	Описание
   --ouid	Обязательный параметр. В параметре передается уникальный числовой (int64) идентификатор объекта на карантине. Отображается при просмотре информации об объектах на карантине (команда --quarantine=show).
   --path-type=<original|custom|settings>	Параметр описывает логику выбора папки назначения при восстановлении объекта из карантина. Если параметр не передан, объект будет восстановлен в исходную папку – папку, в которой находился объект до помещения его на карантин. Если исходная папка недоступна, объект будет восстановлен в папку, указанную при настройке параметров карантина. Если параметр передан со значением <original>, объект будет восстановлен в исходную папку – папку, в которой находился объект до помещения его на карантин. Если исходная папка недоступна, объект будет восстановлен в папку, указанную при настройке параметров карантина. Если параметр передан со значением <settings>, объект будет восстановлен в папку, указанную при настройке параметров карантина. Если папка недоступна, задача завершается с ошибкой. Если параметр передан со значением <custom>, объект будет восстановлен в папку, путь к которой вы укажете для параметра --path. Если папка недоступна, задача завершается с ошибкой.
   --path=<путь к папке назначения для восстановленных объектов>	Обязательный параметр, если передан параметр --path-type со значением <custom>. Параметр определяет путь, по которому вы хотите создать папку для объектов, восстановленных из карантина, если вы не хотите использовать папку, в которой находился объект до помещения его на карантин и папку, указанную при настройке параметров карантина.
   --action=<replace|rename>	Параметр определяет действие над объектом, которое вы хотите выполнить, если при восстановлении объекта из карантина папка назначения для восстановленных объектов содержит файл с таким же именем. Если параметр не передан, восстановленный объект будет переименован: к первоначальному имени объекта будет добавлен суффикс _restored. Если параметр передан со значением <rename>, восстановленный объект будет переименован: к первоначальному имени объекта будет добавлен суффикс _restored. Если параметр передан со значением <replace>, первоначальный объект будет заменен на восстановленный объект.
   --file=<полный путь к объекту, который вы хотите поместить на карантин>	Обязательный параметр, если не передан параметр –hashalg. Параметр задает полный путь к объекту, который вы хотите поместить на карантин.
   --hashalg=<md5|sha256>	Обязательный параметр, если не передан параметр –file и не указан полный путь к объекту, который вы хотите поместить на карантин. Параметр задает алгоритм хеширования, по которому будет рассчитана контрольная сумма объекта, который вы хотите поместить на карантин. Параметр может быть передан с одним из двух значений: <md5> или <sha256>.
   --hash=<target file checksum>	Обязательный параметр, если передан параметр –hashalg. Параметр задает контрольную сумму объекта, который вы хотите поместить на карантин.
   --file=<target file folder>	Обязательный параметр, если передан параметр –hashalg. Параметр задает путь к папке с объектом, который вы хотите поместить на карантин и хеш которого вы указали в параметре –hash.
   --pwd=<текущий пароль пользователя>	Позволяет ввести пароль пользователя, под учетной записью которого выполняется команда.

Коды возврата команды --quarantine:

• -1 – команда не поддерживается.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.