查看: 865|回复: 4
收起左侧

[技术原创] Trellix 系列杀软更改隐藏设置

[复制链接]
sfc9982
发表于 2024-9-1 21:38:46 | 显示全部楼层 |阅读模式
之前个人使用 Trellix Endpoint Security 时,由于没有 ePO 等批量部署策略的主机,在本地无法更改自己的设置,也无法清除历史杀毒等统计信息。

Trellix 的统计信息使用 SQLite 存储在本地,可用安全模式删除。

取消扫描任务等设置隐藏在本地策略中,需要关闭自我防护后,导出加密策略,解密更改再导入回来。

策略导入导出可以参考官方文档:
https://docs.trellix.com/zh-CN/b ... 2-1BB25B516594.html

Trellix 配置使用 AES ECB 模式加密
  1. #!/usr/bin/env python

  2. from base64 import b64decode
  3. from Crypto.Cipher import AES
  4. from Crypto.Util.Padding import unpad
  5. from argparse import ArgumentParser, FileType


  6. def decrypt_config(enc_file):
  7.     # Hardcoded AES key
  8.     key = (
  9.         b'\x92\x9C\x9B\x2C\xF3\x15\x77\x11'
  10.         b'\xE2\x2D\xB9\x78\xA2\xFF\x23\x37'
  11.         b'\xC3\x1A\xE5\x8C\x8E\x65\xEE\x87'
  12.         b'\x3D\x64\x01\x1A\x7E\x4C\xEF\x3E'
  13.     )

  14.     # Cipher mode is AES-ECB
  15.     cipher = AES.new(
  16.         key,
  17.         AES.MODE_ECB
  18.     )

  19.     # Decode from base64
  20.     ciphertext = b64decode(
  21.         enc_file.read()
  22.     )

  23.     # Decrypt and remove padding
  24.     plaintext = unpad(
  25.         cipher.decrypt(
  26.             ciphertext
  27.         ),
  28.         AES.block_size
  29.     ).decode('utf-8')

  30.     return plaintext


  31. def get_args():
  32.     parser = ArgumentParser()
  33.     parser.add_argument(
  34.         "file",
  35.         type=FileType('r'),
  36.     )
  37.     args = parser.parse_args()
  38.     return args


  39. def main():
  40.     args = get_args()

  41.     plaintext = decrypt_config(
  42.         args.file
  43.     )

  44.     print(
  45.         plaintext
  46.     )


  47. if __name__ == '__main__':
  48.     main()
复制代码


导入导出时需要选定安全模块,如:
  1. .\ESConfigTool.exe /module TP /import D:\reenc.policy
复制代码
提示没有错误即为导入成功

取消和暂停扫描任务的选项为:ODS_PAUSE_AND_CANCEL_SCHED_SCAN_ALLOWED

其他的玩法可以大家自行探索

评分

参与人数 2经验 +40 人气 +1 收起 理由
白露为霜 + 40 版区有你更精彩: )
aikafans + 1 版区有你更精彩: )

查看全部评分

aikafans
发表于 2024-9-4 18:34:04 | 显示全部楼层
不用trellix又多了一个理由
paul_guo
发表于 2024-9-18 15:25:11 | 显示全部楼层
本帖最后由 paul_guo 于 2024-9-18 15:28 编辑

自我保护是关掉访问保护吗?
我关掉之后
ESConfigTool.exe /export C:\ENS\preconfigured.policy /module TP
显示
There were some errors while executing command. Please refer to Endpoint Security logs for details

原来是防护都得打开啊

十点十八
发表于 2024-9-19 16:52:18 | 显示全部楼层
究竟谁在用trellix....
05246
发表于 2024-9-19 20:37:13 | 显示全部楼层
十点十八 发表于 2024-9-19 16:52
究竟谁在用trellix....

我用过,卡死了,有实时文件监控
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 17:42 , Processed in 0.123935 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表