天融信EDR彻底卸载方法

按上级通知,内网电脑安装了天融信终端威胁防御系统进行杀毒,使用一段时间后想换回成其他杀毒软件,发现需要企业卸载密码才能卸载。

经过多次折腾后,现总结可能的卸载方法如下:

一、通过注册表项获取密码,输入密码进行卸载

原理:天融信的注册表中有一个键存储卸载密码的密文,对该密码进行解密即可获取明文。

方法:打开注册表编辑器,找到以下位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Topsec\ESEndpoint\app\admin

查看该文件夹,找到[UninstallPassword]项,右键复制该密文。

天融信EDR彻底卸载方法插图

如电脑里注册表上的密文如下:

8642db44fd87cc94ae12927285040dca

直接复制给天融信卸载软件,果然无效。该密文应当采用了某种标准加密算法。猜测该密文为MD5加密,提交密文至cmd5.com,解析出明文如下:

天融信EDR彻底卸载方法插图1

密码原来就是“天融信”自己,看来企业大概没有去主动设置卸载密码。将密码复制给卸载软件,成功卸载。

如果不幸地,上述网站没能解密你的密文(几率极小),可以接着尝试以下方法。

二、注册表修改键值,绕过密码限制

原理:天融信的注册表中有一个键决定在卸载时是否需要“卸载密码”,将键值更改为'false'理论上即可绕开卸载限制。

方法:打开注册表编辑器,找到以下位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Topsec\ESEndpoint\app\admin

查看该文件夹,找到[UseUninstallPassword]项,右键修改内容为0,之后重启电脑。

由于天融信对注册表设置了写保护,所以需要使用具有SYSTEM权限的注册表编辑器来修改键值。

微软提供了一个以SYSTEM权限运行应用的实用程序PsExec,可以通过以下链接下载并解压:

PsExec - Windows Sysinternals | Microsoft Docs

然后打开cmd,切换到解压目录,运行如下指令打开注册表编辑器,再按照上述步骤操作即可。

PsExec -i -d -s c:\windows\regedit.exe

天融信EDR彻底卸载方法插图2

三、进入安全模式或PE手动删除文件

原理:安全模式或PE不会加载除系统关键软件以外的启动项,因此可以摆脱“天融信”的保护措施。

方法:进入安全模式或PE模式,手动删除所有Topsec相关的注册表,删除Program Files下的Topsec目录,理论上可以解决问题。但手动删除容易出现删不干净的情况,也可能出现删过头导致系统崩溃的情况。千万不要误操作,需要谨慎尝试。

四、“以毒攻毒”,使用第三方软件卸载

使用360解除占用+强力卸载可以解决90%的问题,但“请神”会带来更多的后遗症,谨慎尝试。

五、重装系统

如果上述办法皆无效,或许只有重装系统才能彻底解决问题。进PE拷贝重要文件后重装罢。如果之前有创建还原点可以降低损失。

THE END