网站 › 『病毒分析区』 › 【原创】教你清除mcafee与赛门 DLP企业安全防护

战争贩子 发表于 2019-5-8 18:51

【原创】教你清除mcafee与赛门 DLP企业安全防护

本帖最后由 战争贩子 于 2019-5-8 19:00 编辑

                                                                                                                                                         
声明本文仅限于安全工程师范畴内的技术交流与分享，不允许任何人利用此法卸载企业预装的安全产品，本人对使用此法进行恶意卸载的行为不负任何法律责任   。
背景
企业级终端安全防护软件，通常拥有透明加密，行为审计，DLP，反病毒，权限管理，网络过滤等功能。但是对于一个安全技术人员，没有较高Debug权限，工作是寸步难行啊。由于DLP，传输一些较大的文件，需要通过VM虚拟机作为中转，而且要饱受一个文件过滤驱动的摧残。速度比蜗牛还慢。调试就更不用想了。
由于这些安全功能需要一个低Ring的权限才能运行，我们的这次破坏的过程需要循序渐进同时也有相当大的风险。切记不要擅自在公司的电脑上操作，后果自负。
寻找破绽
首先通过控制面板中的卸载来尝试卸载某咖啡、赛门等企业版杀毒软件，卸载过程中需要密码（图丢失）。杀软目录无法修改与删除，需要SYSTEM权限。无法拷贝以及下载rootkit工具提示风险。往移动硬盘里面拷贝数据提示了一个泄露风险（这里出现了破绽）：


使用spylite可以查看到这个框是来自云一个名为cui.exe的进程，这个进程的位置在SYSTEM32目录下。
使用everything.exe发现这个cui.exe除了在SYSTEM32目录下，还有一个位于下图目录。

重命名这个目录失败，提示SYSTEM权限。当然我也同时利用everything工具搜索了所有包含mcafee的目录，记录下来。
关闭BITlocker
在其他的主机制作了一个USB的PE系统，我是用的是WEPE系统，发现硬盘被BITLOCKER加锁。重启进入系统，选择控制面板、Bitlocker驱动器加密，关闭即可。


第一次进入PE
第一次重启进入PE，我做了以下事情。
1、修改以下目录的文件夹名称
C:\Program Files\McAfeeC:\Program Files(x86)\McAfeeC:\Program Files\CommonFiles\McAfeeC:\Program Files (x86)\CommonFiles\McAfeeC:\ProgramFiles\Manufacturer
清空%TEMP%

2、查找administrators组中的成员，寻找一个账户修改其密码。网上有教程。

多处还原处理
被修改文件夹在系统运行的过程中就被自动修复了，甚至是断开网络的情况。下一步就是寻找源文件的位置。三种办法。
1、1、 使用rootkit工具 推荐360 md http://labs.360.cn/malwaredefender/
2、2、使用hook框架，hook 合理的函数，推荐https://www.apimonitor.com/
3、3、其实我在无意之中看到一个log （C:\Users\**i\AppData\Local\Temp\McAfeeLogs）:


该文件夹保留着最基本的安装文件。所以我删除了这个文件夹。同时删除了SOFTWARE\McAfee注册表项。
而某咖啡与某S此时失去了复制的能力，还在挣扎。



而上图的窗体是注入到explore进程的。只要是我右键点击窗体就会触发，通过PCHUNTER的分析得出的以下结论：
1、某咖啡加载多款驱动
2、该安装窗体是有service触发，但无法回溯到哪个service
3、内核版本Createprocess CreateThread 等核心继承内核都有回调，还原之后也没能完全删除干净。很有可能在里面存在复活的程序。
我们先停止并关闭以下service



关闭Firewall.


重启到PE
第二次进入PE
处理驱动程序：确定哪些驱动程序是可以改名的。PCHUNTER的截图
大体就是说，在SYSTEM32\DRIVERS目录下，所有mfe开头的的sys文件都需要重命名，（除了mfedisk.sys和mfehidk.sys都是文件与磁盘过滤驱动，开机会蓝屏）。 再重启
最后一步
最后一步，利用Windows Install Clean Up清理Install的冗余信息，将注册表里面的存留的某咖啡某S的卸载信息删除掉。
https://dl.pconline.com.cn/html_2/1/62/id=10371&pn=0.html

漠漠 发表于 2019-5-13 05:38

这个复杂啊?当年我用一个xuetr,就把公司电脑的赛门铁克企业版拆的干干净净,哈哈哈哈
方法就是所有的东西,,文件,模块,钩子,驱动,全部拆掉,,然后就完事了~~

当然,我有管理员权限,可以上外网,要是员工的机器,上不了外网,也禁止u盘的话,还是有一点点压力

战争贩子 发表于 2019-5-14 11:47

漠漠 发表于 2019-5-13 05:38
这个复杂啊?当年我用一个xuetr,就把公司电脑的赛门铁克企业版拆的干干净净,哈哈哈哈
方法就是所有的东西,, ...

xuetr打不开 会报DLP

Tea毒生灵 发表于 2019-5-8 21:10

困扰很久了 明天试一下 谢谢

V_情思指尖绕 发表于 2019-5-8 23:50

chengyue2019 发表于 2019-5-9 08:48

可以好好学习下拉

king82 发表于 2019-5-9 09:02

看完了，只能说楼主废了不少劲，厉害

dioderen 发表于 2019-5-9 09:26

不再控了，管理员发现不了了么

registerg 发表于 2019-5-9 20:52

谢谢楼主分享啦

sr100fen 发表于 2019-5-10 02:44

厉害了   楼主111

战争贩子 发表于 2019-5-10 14:40

dioderen 发表于 2019-5-9 09:26
不再控了，管理员发现不了了么

估计域里面能看到 但是也有理由的IT一般不懂这个吧

查看完整版本: 【原创】教你清除mcafee与赛门 DLP企业安全防护