Trellix 系列杀软更改隐藏设置

显示全部楼层 · 发表于 2024-9-1 21:38:46

之前个人使用 Trellix Endpoint Security 时，由于没有 ePO 等批量部署策略的主机，在本地无法更改自己的设置，也无法清除历史杀毒等统计信息。

Trellix 的统计信息使用 SQLite 存储在本地，可用安全模式删除。

取消扫描任务等设置隐藏在本地策略中，需要关闭自我防护后，导出加密策略，解密更改再导入回来。

策略导入导出可以参考官方文档：
https://docs.trellix.com/zh-CN/b ... 2-1BB25B516594.html

Trellix 配置使用 AES ECB 模式加密

#!/usr/bin/env python
from base64 import b64decode
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
from argparse import ArgumentParser, FileType
def decrypt_config(enc_file):
# Hardcoded AES key
key = (
b'\x92\x9C\x9B\x2C\xF3\x15\x77\x11'
b'\xE2\x2D\xB9\x78\xA2\xFF\x23\x37'
b'\xC3\x1A\xE5\x8C\x8E\x65\xEE\x87'
b'\x3D\x64\x01\x1A\x7E\x4C\xEF\x3E'
)
# Cipher mode is AES-ECB
cipher = AES.new(
key,
AES.MODE_ECB
)
# Decode from base64
ciphertext = b64decode(
enc_file.read()
)
# Decrypt and remove padding
plaintext = unpad(
cipher.decrypt(
ciphertext
),
AES.block_size
).decode('utf-8')
return plaintext
def get_args():
parser = ArgumentParser()
parser.add_argument(
"file",
type=FileType('r'),
)
args = parser.parse_args()
return args
def main():
args = get_args()
plaintext = decrypt_config(
args.file
)
print(
plaintext
)
if __name__ == '__main__':
main()

复制代码

导入导出时需要选定安全模块，如：

.\ESConfigTool.exe /module TP /import D:\reenc.policy

复制代码

提示没有错误即为导入成功

取消和暂停扫描任务的选项为：ODS_PAUSE_AND_CANCEL_SCHED_SCAN_ALLOWED

其他的玩法可以大家自行探索

显示全部楼层 · 发表于 2024-9-4 18:34:04

不用trellix又多了一个理由

显示全部楼层 · 发表于 2024-9-18 15:25:11

本帖最后由 paul_guo 于 2024-9-18 15:28 编辑

自我保护是关掉访问保护吗？
我关掉之后
ESConfigTool.exe /export C:\ENS\preconfigured.policy /module TP
显示
There were some errors while executing command. Please refer to Endpoint Security logs for details

原来是防护都得打开啊

显示全部楼层 · 发表于 2024-9-19 16:52:18

究竟谁在用trellix....

显示全部楼层 · 发表于 2024-9-19 20:37:13

十点十八发表于 2024-9-19 16:52
究竟谁在用trellix....

我用过，卡死了，有实时文件监控

[技术原创] Trellix 系列杀软更改隐藏设置

评分