天融信EDR彻底卸载方法
按上级通知,内网电脑安装了天融信终端威胁防御系统进行杀毒,使用一段时间后想换回成其他杀毒软件,发现需要企业卸载密码才能卸载。
经过多次折腾后,现总结可能的卸载方法如下:
一、通过注册表项获取密码,输入密码进行卸载
原理:天融信的注册表中有一个键存储卸载密码的密文,对该密码进行解密即可获取明文。
方法:打开注册表编辑器,找到以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Topsec\ESEndpoint\app\admin
查看该文件夹,找到[UninstallPassword]项,右键复制该密文。
如电脑里注册表上的密文如下:
8642db44fd87cc94ae12927285040dca
直接复制给天融信卸载软件,果然无效。该密文应当采用了某种标准加密算法。猜测该密文为MD5加密,提交密文至cmd5.com,解析出明文如下:
密码原来就是“天融信”自己,看来企业大概没有去主动设置卸载密码。将密码复制给卸载软件,成功卸载。
如果不幸地,上述网站没能解密你的密文(几率极小),可以接着尝试以下方法。
二、注册表修改键值,绕过密码限制
原理:天融信的注册表中有一个键决定在卸载时是否需要“卸载密码”,将键值更改为'false'理论上即可绕开卸载限制。
方法:打开注册表编辑器,找到以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Topsec\ESEndpoint\app\admin
查看该文件夹,找到[UseUninstallPassword]项,右键修改内容为0,之后重启电脑。
由于天融信对注册表设置了写保护,所以需要使用具有SYSTEM权限的注册表编辑器来修改键值。
微软提供了一个以SYSTEM权限运行应用的实用程序PsExec,可以通过以下链接下载并解压:
PsExec - Windows Sysinternals | Microsoft Docs
然后打开cmd,切换到解压目录,运行如下指令打开注册表编辑器,再按照上述步骤操作即可。
PsExec -i -d -s c:\windows\regedit.exe
三、进入安全模式或PE手动删除文件
原理:安全模式或PE不会加载除系统关键软件以外的启动项,因此可以摆脱“天融信”的保护措施。
方法:进入安全模式或PE模式,手动删除所有Topsec相关的注册表,删除Program Files下的Topsec目录,理论上可以解决问题。但手动删除容易出现删不干净的情况,也可能出现删过头导致系统崩溃的情况。千万不要误操作,需要谨慎尝试。
四、“以毒攻毒”,使用第三方软件卸载
使用360解除占用+强力卸载可以解决90%的问题,但“请神”会带来更多的后遗症,谨慎尝试。
五、重装系统
如果上述办法皆无效,或许只有重装系统才能彻底解决问题。进PE拷贝重要文件后重装罢。如果之前有创建还原点可以降低损失。
本网站资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。原创内容除特殊说明外,转载本站文章请注明出处。
如有侵权、不妥之处,联系删除。 Email:master@gzza.com