火绒剑 成功把 迈克菲 删掉了

2022-09-15 03:55:01 +08:00
 Aloento
背景:公司发的电脑,强制入 AD 域,自带统一管理的企业版迈克菲。之前因为迈克菲自己抽风导致 Anyconnect 无法检测迈克菲运行状态,所以现在不要求迈克菲运行就可以加入公司内网。

需求:运行我自己写的一些有一些“高危”操作(在迈克菲看来,但是实际上只是调用了一些底层 Win32API )的效率工具。我真的是连调试都调试不了我的代码,一生成产物就被光速删除,有时候运气好刚刚启动就被删除。

经过:
我尝试了许多办法,直接改注册表有保护,改启动项也有保护,常规删除更不可能
用 PsExec 的话由于在域里面,完全无法注入 key ,提示网络找不到,也没戏
PE 也进不了,有 UEFI 保护,还有 BitLocker

在走投无路的时候想到了曾经 360 的以毒攻毒方法,就想能不能用另外一个杀毒软件来干掉迈克菲呢
然后我就下了我经常用的火绒,打开火绒剑

最初是尝试结束任务,无果
修改注册表,启动项都有防护,我就一咬牙(大不了就是回公司重装系统),强制删除了迈克菲的几个服务程序
重启

然后迈克菲就跟我说再见了(虽然还是有迈克菲的驱动残留,但是防护功能已经废了)
火绒你好!
7338 次点击
所在节点    信息安全
39 条回复
ysc3839
2022-09-15 04:13:37 +08:00
有签名就不防吗?也许可以试试 PCHunter ,不过免费版似乎比较久没更新了。
mxT52CRuqR6o5
2022-09-15 04:26:18 +08:00
@ysc3839 驱动之间的东西如果互相对抗,很可能把电脑搞崩的
PMR
2022-09-15 05:35:14 +08:00
任何进程都能被 kill
Windows 最高权是 driver inject kernel-mode
levelworm
2022-09-15 05:42:28 +08:00
好奇一把楼主写的什么工具
PogOnion
2022-09-15 05:46:59 +08:00
不能说楼主闲得无聊,只能说公司卡的太严
snw
2022-09-15 06:33:13 +08:00
@ysc3839
说到签名过白,想起前段时间黑客用带签名的米哈游反作弊驱动杀掉杀毒软件
JensenQian
2022-09-15 07:45:48 +08:00
来个大数字,都得被关
AS4694lAS4808
2022-09-15 07:52:30 +08:00
可以加排除文件或者文件夹吧?我司也一样,python 写的脚本一运行就被干掉,后来找 it 申请加的签名白名单,就很烦
linuslv
2022-09-15 08:24:48 +08:00
应该向公司申请不使用 McAfee ,毕竟影响自身工作了。
tankren
2022-09-15 08:38:35 +08:00
@PogOnion 不够严,居然还能自己下载 exe 并管理员执行
melsp
2022-09-15 08:46:56 +08:00
哇塞,企业版迈克菲😨
king888
2022-09-15 09:00:32 +08:00
插楼问下,也是火绒,经常莫名其妙毫无提示的直接干掉本地 frpc 进程并删除文件,一脸懵逼,查了 windows 安全中心保护记录记录,火绒隔离区 /安全日志毫无记录

真一脸懵逼...
maskerTUI
2022-09-15 09:06:35 +08:00
迈克菲的防护确实是太多误报了,我是用 pe 进去系统直接删文件的。
peasant
2022-09-15 09:07:56 +08:00
@king888 frpc 很多杀毒软件都提示有毒吧,就算不装杀毒软件,windows 自带的都会阻止 frpc 运行,只能设置排除才能安稳运行
king888
2022-09-15 09:15:34 +08:00
@peasant 没有任何提示就杀掉了,一脸懵逼
king888
2022-09-15 09:16:01 +08:00
加白名单也会干掉
thtznet
2022-09-15 09:17:32 +08:00
加了 AD 还能自己装软件,那么意义何在?
bitllion
2022-09-15 09:20:29 +08:00
@king888 火绒+frp 稳定运行一年了,没出任何问题,是不是你没有把 frp 放到 service 里?
huangsijun17
2022-09-15 09:36:00 +08:00
备份系统后拿微软的 Autoruns 去删掉各类“启动项”即可。一般你搜索麦咖啡的签名上的公司名,就能列出所有。
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
virusdefender
2022-09-15 09:47:16 +08:00
驱动层的对抗没啥意义,所以大家都不咋处理

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/880124

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX