之前按照学校通知,通过校内网安装了天融信终端威胁防御系统进行杀毒,使用一段时间后想换回自己熟悉的杀毒软件,发现需要企业卸载密码才能卸载。
上述经历是笔者一个同学的经历
笔者在经过多次折腾后,现总结可能的卸载方法如下:
【一】通过注册表项获取密码,输入密码进行卸载
原理:
天融信的注册表中有一个键存储卸载密码的密文,对该密码进行解密即可获取明文。
方法:
打开注册表编辑器,找到以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Topsec\ESEndpoint\app\admin
查看该文件夹,找到[UninstallPassword]项,右键复制该密文。
笔者电脑里注册表上的密文如下:
8642db44fd87cc94ae12927285040dca
直接复制给天融信卸载软件,果然无效。该密文应当采用了某种标准加密算法。
在研究一阵子之后,受天融信防火墙密码恢复手记 (seebug.org)的启发,猜测该密文为MD5加密,遂提交密文至cmd5.com,解析出明文如下:
密码原来就是“天融信”自己,看来企业大概没有去主动设置卸载密码。将密码复制给卸载软件,成功卸载。
如果不幸地,上述网站没能解密你的密文(几率极小),可以接着尝试以下方法。
【二】注册表修改键值,绕过密码限制
原理:
天融信的注册表中有一个键决定在卸载时是否需要“卸载密码”,将键值更改为'false'理论上即可绕开卸载限制。
方法:
打开注册表编辑器,找到以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Topsec\ESEndpoint\app\admin
查看该文件夹,找到[UseUninstallPassword]项,右键修改内容为0,之后重启电脑。
由于天融信对注册表设置了写保护,所以需要使用具有SYSTEM权限的注册表编辑器来修改键值。
微软提供了一个以SYSTEM权限运行应用的实用程序PsExec,可以通过以下链接下载并解压:
PsExec - Windows Sysinternals | Microsoft Docs
然后打开cmd,切换到解压目录,运行如下指令打开注册表编辑器,再按照上述步骤操作即可。
PsExec -i -d -s c:\windows\regedit.exe
【三】进入安全模式手动删除文件
原理:
安全模式不会加载除系统关键软件以外的启动项,因此可以摆脱“天融信”的保护措施。
方法:
进入安全模式,手动删除所有Topsec相关的注册表,删除Program Files下的Topsec目录,理论上可以解决问题。但手动删除容易出现删不干净的情况,甚至可能出现删过头导致系统崩溃的情况。操作难度较大,谨慎尝试。
【四】“以毒攻毒”,使用第三方软件卸载
使用360解除占用+强力卸载可以解决90%的问题,但“请神”会带来更多的后遗症,谨慎尝试。
【五】重装系统
如果上述办法皆无效,或许只有重装系统才能彻底解决问题。进PE拷贝重要文件后重装罢。如果之前有创建还原点可以降低损失。
版权归原作者 ZeroNexus 所有, 如有侵权,请联系我们删除。