误判文件可从Windows安全中心隔离区恢复:打开安全中心→病毒和威胁防护→保护历史记录→筛选“已隔离”→勾选并点击“还原”;或用管理员PowerShell执行Get-MpThreatDetection与Restore-MpThreat命令;亦可导出加密副本手动提取。
如果您发现某个文件被Windows Defender误判为威胁并移除,但尚未彻底覆盖磁盘数据,则该文件很可能仍存在于隔离区中。以下是针对隔离区找回误删文件的具体操作流程:
一、从Windows安全中心隔离区恢复文件
Windows Defender在检测到可疑文件时,默认行为是将其移入隔离区而非永久删除。隔离区属于受控存储空间,文件保留原始元数据与内容,可通过安全中心界面直接还原至原始路径。
1、按下键盘上的Win + S组合键,在搜索栏输入“Windows 安全中心”,点击打开该应用。
2、在安全中心主界面左侧导航栏中,点击“病毒和威胁防护”选项。
3、向下滚动至“保护历史记录”区域,点击右侧的“查看完整历史记录”链接。
4、在历史记录页面顶部,点击“筛选器”下拉菜单,选择“已隔离”状态。
5、浏览列表,定位目标文件名称及隔离时间;勾选该条目后,点击上方“还原”按钮。
6、系统提示确认操作时,点击“是”,文件将自动返回原始保存位置。
二、通过PowerShell命令行强制还原隔离项
当图形界面无法加载隔离列表或出现权限异常时,可使用管理员权限的PowerShell调用Defender内置模块执行还原操作,该方式绕过UI限制,直接作用于隔离数据库。
1、右键点击“开始”按钮,选择“Windows PowerShell(管理员)”。
2、输入命令:Get-MpThreatDetection | Where-Object {$_.ThreatStatus -eq 'Isolated'} | Format-List,回车后查看隔离文件的ID与路径信息。
3、记录目标项的ThreatID值,然后执行还原命令:Restore-MpThreat -ThreatID "输入此处ID"。
4、若提示成功,可立即前往原文件夹验证是否已恢复。
三、导出隔离文件副本进行手动提取
部分高风险文件即使被隔离,其内容仍可被导出为加密副本供人工审查。此方法适用于需保留原始文件哈希或进行二次分析的场景,且不依赖还原功能是否启用。
1、在“保护历史记录”中筛选出“已隔离”项目后,右键点击目标条目。
2、选择“显示详细信息”,在弹出窗口中查找“隔离路径”字段所列的本地路径(通常位于C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\
3、使用管理员权限打开文件资源管理器,粘贴该路径并回车访问;若提示权限不足,点击“继续”获取所有权。
4、找到对应GUID命名的子文件夹,其中包含以“.bin”结尾的加密隔离包;使用支持Defender隔离格式的解包工具(如mpclient.exe配合参数)提取原始文件。
