本帖最后由 战争贩子 于 2019-5-8 19:00 编辑
声明本文仅限于安全工程师范畴内的技术交流与分享,不允许任何人利用此法卸载企业预装的安全产品,本人对使用此法进行恶意卸载的行为不负任何法律责任 。
背景
企业级终端安全防护软件,通常拥有透明加密,行为审计,DLP,反病毒,权限管理,网络过滤等功能。但是对于一个安全技术人员,没有较高Debug权限,工作是寸步难行啊。由于DLP,传输一些较大的文件,需要通过VM虚拟机作为中转,而且要饱受一个文件过滤驱动的摧残。速度比蜗牛还慢。调试就更不用想了。
由于这些安全功能需要一个低Ring的权限才能运行,我们的这次破坏的过程需要循序渐进同时也有相当大的风险。切记不要擅自在公司的电脑上操作,后果自负。
寻找破绽
首先通过控制面板中的卸载来尝试卸载某咖啡、赛门等企业版杀毒软件,卸载过程中需要密码(图丢失)。杀软目录无法修改与删除,需要SYSTEM权限。无法拷贝以及下载rootkit工具提示风险。往移动硬盘里面拷贝数据提示了一个泄露风险(这里出现了破绽):
使用spylite可以查看到这个框是来自云一个名为cui.exe的进程,这个进程的位置在SYSTEM32目录下。
使用everything.exe发现这个cui.exe除了在SYSTEM32目录下,还有一个位于下图目录。
重命名这个目录失败,提示SYSTEM权限。当然我也同时利用everything工具搜索了所有包含mcafee的目录,记录下来。
关闭BITlocker
在其他的主机制作了一个USB的PE系统,我是用的是WEPE系统,发现硬盘被BITLOCKER加锁。重启进入系统,选择控制面板、Bitlocker驱动器加密,关闭即可。
第一次进入PE
第一次重启进入PE,我做了以下事情。
1、 修改以下目录的文件夹名称
C:\Program Files\McAfeeC:\Program Files(x86)\McAfeeC:\Program Files\CommonFiles\McAfeeC:\Program Files (x86)\CommonFiles\McAfeeC:\ProgramFiles\Manufacturer
清空%TEMP%
2、 查找administrators组中的成员,寻找一个账户修改其密码。网上有教程。
多处还原处理
被修改文件夹在系统运行的过程中就被自动修复了,甚至是断开网络的情况。下一步就是寻找源文件的位置。三种办法。
1、 1、 使用rootkit工具 推荐360 md http://labs.360.cn/malwaredefender/
2、 2、使用hook框架,hook 合理的函数,推荐https://www.apimonitor.com/
3、 3、其实我在无意之中看到一个log (C:\Users\**i\AppData\Local\Temp\McAfeeLogs):
该文件夹保留着最基本的安装文件。所以我删除了这个文件夹。同时删除了SOFTWARE\McAfee注册表项。
而某咖啡与某S此时失去了复制的能力,还在挣扎。
而上图的窗体是注入到explore进程的。只要是我右键点击窗体就会触发,通过PCHUNTER的分析得出的以下结论:
1、 某咖啡加载多款驱动
2、 该安装窗体是有service触发,但无法回溯到哪个service
3、 内核版本Createprocess CreateThread 等核心继承内核都有回调,还原之后也没能完全删除干净。很有可能在里面存在复活的程序。
我们先停止并关闭以下service
关闭Firewall.
重启到PE
第二次进入PE
处理驱动程序:确定哪些驱动程序是可以改名的。PCHUNTER的截图
大体就是说,在SYSTEM32\DRIVERS目录下,所有mfe开头的的sys文件都需要重命名,(除了mfedisk.sys和mfehidk.sys都是文件与磁盘过滤驱动,开机会蓝屏)。
再重启
最后一步
最后一步,利用Windows Install Clean Up清理Install的冗余信息,将注册表里面的存留的某咖啡某S的卸载信息删除掉。
https://dl.pconline.com.cn/html_2/1/62/id=10371&pn=0.html
| 
发表于 2019-5-8 18:51
|
发表于 2019-5-14 11:47
