【原创】教你清除mcafee与赛门 DLP企业安全隔离

背景

企业级终端安全隔离软件，通常拥有透明加密，行为审计，DLP，反病毒，权限管控卸载mcafee企业版，网络过滤等用途。但是针对一个安全科技人员，没有较高Debug权限，工作是寸步难行啊。由于DLP，传输一些较大的文件，需要借助VM虚拟机作为中转，而且要遭受一个文件过滤驱动的洗礼。速度比蜗牛还慢。调试就更不用想了。

由于很多安全用途应该一个低Ring的权限就能运行，我们的现在破坏的过程应该循序渐进同时也是比较大的风险。切记不要擅自在公司的电脑上操作，后果自负。

寻找漏洞

首先借助控制面板中的卸载来尝试卸载某咖啡、赛门等企业版杀毒工具，卸载过程中应该密码（图丢失）。杀软目录无法更改与卸载卸载mcafee企业版，需要SYSTEM权限。无法拷贝以及下载rootkit工具提醒风险。往移动u盘上面拷贝数据提示了一个泄露风险（这里出现了破绽）：

dlp报错.png (37.03 KB, 下载次数: 0)

下载附件

2019-5-8 18:43 上传

使用spylite可以查看到这个框是来自云一个名为cui.exe的进程，这个进程的位置在SYSTEM32目录下。

使用everything.exe发现这个cui.exe比如在SYSTEM32目录下，还有一个位于下图目录。

2.png (24.02 KB, 下载次数: 0)

下载附件

2019-5-8 18:42 上传

重命名这个目录失败，提示SYSTEM权限。当然我也同时运用everything工具搜索了所有包括mcafee的目录，记录下来。

关闭BITlocker

在其他的主机制作了一个USB的PE系统，我是用的是WEPE系统，发现硬盘被BITLOCKER加锁。重启进入平台，选择控制面板、Bitlocker驱动器加密，关闭即可。

3.png (212.3 KB, 下载次数: 0)

下载附件

2019-5-8 18:42 上传

第一次进入PE

第一次重启进入PE，我做了下面事情。

1、修改下面目录的文件夹名称

C:\Program Files\McAfeeC:\Program Files(x86)\McAfeeC:\Program Files\CommonFiles\McAfeeC:\Program Files (x86)\CommonFiles\McAfeeC:\ProgramFiles\Manufacturer

清空%TEMP%

2、查找administrators组中的成员，寻找一个账户设置其密码。网上有教程。

多处还原处理

被设置文件夹在系统运行的过程中就被手动清除了，甚至是断开网络的状况。下一步就是寻找源文件的位置。三种方法。

1、1、 使用rootkit工具 推荐360 md

2、2、使用hook框架，hook 合理的变量，推荐

3、3、其实我在无意之中发现一个log （C:\Users\**i\AppData\Local\Temp\McAfeeLogs）:

12.png (52.6 KB, 下载次数: 0)

下载附件

2019-5-8 18:47 上传

该文件夹保留着最基本的安装文件。所以我删除了这个文件夹。同时删除了SOFTWARE\McAfee注册表项。

而某咖啡与某S此时丧失了复制的能力，还在挣扎。

5.png (661.15 KB, 下载次数: 0)

下载附件

2019-5-8 18:42 上传

4.jpg (70.96 KB, 下载次数: 0)

下载附件

2019-5-8 18:42 上传

而上图的窗体是注入到explore进程的。只要是我单击点击表单就会触发，通过PCHUNTER的剖析得出的下述结论：

1、某咖啡加载多款驱动

2、该加装窗体是有service触发，但能够回溯到哪个service

3、内核版本Createprocess CreateThread 等核心继承内核都有回调，还原以后也没能完全删除干净。很有可能在上面存在复活的程序。

我们先停止并关闭以下service

6.png (157.88 KB, 下载次数: 0)

下载附件

2019-5-8 18:42 上传

7.png (8.79 KB, 下载次数: 0)

下载附件

2019-5-8 18:42 上传

关闭Firewall.

8.png (94.75 KB, 下载次数: 0)

下载附件

2019-5-8 18:42 上传

重启到PE

第二次进入PE

处理驱动程序：确定哪些驱动程序是可以改名的。PCHUNTER的截图

9.png (325.13 KB, 下载次数: 0)

下载附件

2019-5-8 18:42 上传

10.png (250.23 KB, 下载次数: 0)

下载附件

2019-5-8 18:49 上传

大体就是说，在SYSTEM32\DRIVERS目录下，所有mfe开头的的sys文件都需要重命名，（除了mfedisk.sys和mfehidk.sys都是文件与硬盘过滤驱动，开机会死机）。

11.png (41.22 KB, 下载次数: 1)

下载附件

2019-5-8 18:42 上传

再重启

最后一步

最后一步，利用Windows Install Clean Up清理Install的冗余信息，将注册表里面的留存的某咖啡某S的删掉信息删去掉。

;pn=0.html

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-120572-1.html