这是一个创建于 1130 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景:公司发的电脑,强制入 AD 域,自带统一管理的企业版迈克菲。之前因为迈克菲自己抽风导致 Anyconnect 无法检测迈克菲运行状态,所以现在不要求迈克菲运行就可以加入公司内网。
需求:运行我自己写的一些有一些“高危”操作(在迈克菲看来,但是实际上只是调用了一些底层 Win32API )的效率工具。我真的是连调试都调试不了我的代码,一生成产物就被光速删除,有时候运气好刚刚启动就被删除。
经过:
我尝试了许多办法,直接改注册表有保护,改启动项也有保护,常规删除更不可能
用 PsExec 的话由于在域里面,完全无法注入 key ,提示网络找不到,也没戏
PE 也进不了,有 UEFI 保护,还有 BitLocker
在走投无路的时候想到了曾经 360 的以毒攻毒方法,就想能不能用另外一个杀毒软件来干掉迈克菲呢
然后我就下了我经常用的火绒,打开火绒剑
最初是尝试结束任务,无果
修改注册表,启动项都有防护,我就一咬牙(大不了就是回公司重装系统),强制删除了迈克菲的几个服务程序
重启
然后迈克菲就跟我说再见了(虽然还是有迈克菲的驱动残留,但是防护功能已经废了)
火绒你好!
需求:运行我自己写的一些有一些“高危”操作(在迈克菲看来,但是实际上只是调用了一些底层 Win32API )的效率工具。我真的是连调试都调试不了我的代码,一生成产物就被光速删除,有时候运气好刚刚启动就被删除。
经过:
我尝试了许多办法,直接改注册表有保护,改启动项也有保护,常规删除更不可能
用 PsExec 的话由于在域里面,完全无法注入 key ,提示网络找不到,也没戏
PE 也进不了,有 UEFI 保护,还有 BitLocker
在走投无路的时候想到了曾经 360 的以毒攻毒方法,就想能不能用另外一个杀毒软件来干掉迈克菲呢
然后我就下了我经常用的火绒,打开火绒剑
最初是尝试结束任务,无果
修改注册表,启动项都有防护,我就一咬牙(大不了就是回公司重装系统),强制删除了迈克菲的几个服务程序
重启
然后迈克菲就跟我说再见了(虽然还是有迈克菲的驱动残留,但是防护功能已经废了)
火绒你好!
 | 1 ysc3839 2022-09-15 04:13:37 +08:00 via Android 有签名就不防吗?也许可以试试 PCHunter ,不过免费版似乎比较久没更新了。 |
 | 2 mxT52CRuqR6o5 2022-09-15 04:26:18 +08:00 via Android @ysc3839 驱动之间的东西如果互相对抗,很可能把电脑搞崩的 |
 | 3 PMR 2022-09-15 05:35:14 +08:00 via Android 任何进程都能被 kill Windows 最高权是 driver inject kernel-mode |
 | 4 levelworm 2022-09-15 05:42:28 +08:00 via Android 好奇一把楼主写的什么工具 |
 | 5 PogOnion 2022-09-15 05:46:59 +08:00 不能说楼主闲得无聊,只能说公司卡的太严 |
 | 7 JensenQian 2022-09-15 07:45:48 +08:00 via Android  1 来个大数字,都得被关 |
 | 8 AS4694lAS4808 2022-09-15 07:52:30 +08:00 via Android 可以加排除文件或者文件夹吧?我司也一样,python 写的脚本一运行就被干掉,后来找 it 申请加的签名白名单,就很烦 |
 | 9 linuslv 2022-09-15 08:24:48 +08:00 应该向公司申请不使用 McAfee ,毕竟影响自身工作了。 |
 | 11 melsp 2022-09-15 08:46:56 +08:00 via Android 哇塞,企业版迈克菲 |
 | 12 king888 2022-09-15 09:00:32 +08:00 插楼问下,也是火绒,经常莫名其妙毫无提示的直接干掉本地 frpc 进程并删除文件,一脸懵逼,查了 windows 安全中心保护记录记录,火绒隔离区 /安全日志毫无记录 真一脸懵逼... |
 | 13 maskerTUI 2022-09-15 09:06:35 +08:00 迈克菲的防护确实是太多误报了,我是用 pe 进去系统直接删文件的。 |
 | 14 peasant 2022-09-15 09:07:56 +08:00 @king888 frpc 很多杀毒软件都提示有毒吧,就算不装杀毒软件,windows 自带的都会阻止 frpc 运行,只能设置排除才能安稳运行 |
| 16 king888 2022-09-15 09:16:01 +08:00 加白名单也会干掉 |
 | 17 thtznet 2022-09-15 09:17:32 +08:00 加了 AD 还能自己装软件,那么意义何在? |
 | 19 huangsijun17 2022-09-15 09:36:00 +08:00 备份系统后拿微软的 Autoruns 去删掉各类“启动项”即可。一般你搜索麦咖啡的签名上的公司名,就能列出所有。 https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns |
 | 20 virusdefender 2022-09-15 09:47:16 +08:00 驱动层的对抗没啥意义,所以大家都不咋处理 |
 | 21 Deteriorator 2022-09-15 09:57:31 +08:00 迈克菲可以通过专门的软件完整地卸载掉 |
 | 22 rb6221 2022-09-15 10:22:41 +08:00 这种事不是找公司 IT 部门解决吗,至于费这么大工夫 |
 | 23 TtTtTtT 2022-09-15 10:23:17 +08:00 所以已经不在本机上开发代码了。 前几天还以为麦咖啡被删了,没想到是换了个 logo 。 |
 | 24 chioplkijhman 2022-09-15 11:33:58 +08:00 公司 IT 遇到自己“解决问题”的人会觉得很。。至少不会夸你。 |
 | 25 qeqv 2022-09-15 11:40:37 +08:00 @chioplkijhman 笑死,我有一次自己重装系统被 IT 喷了 |
 | 26 xingtian 2022-09-15 13:04:16 +08:00 小伙子你该不会是 hisense 公司的吧?@Aloento |
| 27 PogOnion 2022-09-15 14:13:44 +08:00 #10 应该设计成从电脑导入导出文件需求授权 XD |
 | 28 lonenol 2022-09-15 14:22:52 +08:00 我们公司也是内置迈克菲。。。。不知道这软件是怎么占领企业的。。 |
 | 29 abolast 2022-09-15 14:51:35 +08:00 删得好,感觉这个迈克菲比 360 毒霸还要恶心 |
 | 31 WOLFRAZOR 2022-09-15 17:49:58 +08:00 置 Mcafee 。之前置的就有 Symantec ,360 ;有安天。安天不卸,因有人查。 Symantec 和 360 都是重抹掉,得卸(那候卸了也,不像在用安天麻) |
 | 33 Aloento OP @AS4694lAS4808 没有这个功能,我们的迈克菲连用户界面都调不出来,完全静默,托盘图标都没有 @linuslv @janus77 部门没权限单独关掉某个人的杀毒软件,只能让我们自己想办法解决 @maskerTUI 我们 PE 进不去呀哎 @thtznet 我申请了 local admin 权限,挺麻烦的层层审批,但是申请到了意思就是你随便弄吧 @Deteriorator 细说? @xingtian 不是 @lonenol @abolast 廉价授权,利益交换。美团用的卡巴斯基呢 @HFX3389 本地账户也被域策略组控制,不知道有没有办法破解策略组限制 |
| 34 Deteriorator 2022-09-15 20:54:15 +08:00 @Aloento 网上搜一下就有,我当时是我们公司的 IT 给的专门的软件卸载掉的 |
 | 35 abc8678 2022-09-16 00:16:07 +08:00 via Android @snw 当年学易语言的时候,一生成就被 360 删。然后在网上找了一个数字签名克隆工具,把国内其他公司的签名套上去就不报毒了。但苹果的签名克不到 |
 | 36 mikywei nbsp;2022-09-16 11:38:54 +08:00 然后 Anyconnect 思科 sslvpn 策略改回来,要求是使用迈克菲才能连接公司内网,又得装回来哈哈。 |
 | 37 akakidz 2022-09-16 14:46:48 +08:00 事实证明门锁只能防住好人当公司安全性达到标准程度,再加大力度导致的结果就是恶心自己人 |
 | 38 Autonomous 2022-12-10 21:59:55 +08:00 从 Windows PC 上删除迈克菲产品 https://www.mcafee.com/support/?articleId=TS101331&page=shell&shell=article-view |
| 39 Aloento OP |
Select Language