拉不拉稀肚拉稀 发表于 2024-7-20 06:37:18

MAC卸载深佩服edr

一、平常办法
1、起首在应用程序中找到终端防护中央,右键表现原项目。

 https://img-blog.csdnimg.cn/4bce7eb0dbc34ff8a0dda97e98729cc6.png

2、全选删除全部文件,其中有一个sfavtray文件无法删除,这里先删除其他文件,否则底3步结束进程会自动规复。
 https://img-blog.csdnimg.cn/dcb4a414ce0c4b3493589b33e60a10f2.png
3、在活动监视器中查找进程名为sfavtray、edr的进程,欺压结束。把sfavtray进程结束后,edr就不在状态栏表现了。
 https://img-blog.csdnimg.cn/33b5cde3194b4d8c897b0c9796652c9d.png
 https://img-blog.csdnimg.cn/852101b6432441fcb1915198b2cd3266.png
另有一个进程endpointsecurityd不停无法欺压结束,好像也没什么用。 https://img-blog.csdnimg.cn/a9a03c5375894e65862da9754ca477c3.png
 4、删除资源库下的sf 文件夹全部文件,路径是/Library/sf,同时用腾讯柠檬开启启动管理里把com.sangfor.edr_agent.plist选项关闭,把这个文件删除。
https://img-blog.csdnimg.cn/c09afed13d8045779ecbed4b77a7a6e9.png
二、快捷方法

~/Library/sf/edr/agent/bin  进入~/Library/sf/edr/agent/bin ,找到eps_services_check.sh 和eps_uninstall.sh 两个脚本文件,一个是检测edr服务的,一个是可以直接卸载edr的。 这里的脚本文件不能直接修改,必须先将脚本文件拖到其他位置,比如桌面上,修改完再拖回来,直接替换。
1、如何让edr能退出不自动规复启动

将eps_services_check.sh 拖到桌面,先解释或删除脚本中规复启动的代码如图:
https://img-blog.csdnimg.cn/e7b94336a4d04c9fa76b3e269efb8158.jpeg
 修改完再拖回原位置覆盖,在活动监视器中先欺压退出这两个edr进程https://img-blog.csdnimg.cn/852101b6432441fcb1915198b2cd3266.png
 再欺压退出sfavtray进程,可以看到EDR已经完成退出不会自动规复了。
https://img-blog.csdnimg.cn/33b5cde3194b4d8c897b0c9796652c9d.png​​​​​​​
 2、如何卸载edr

将eps_uninstall.sh拖到桌面,先解释或删除掉脚本中规复启动的代码如图:
https://img-blog.csdnimg.cn/5dbeaf2362d54f39b7351d0b66e4751b.jpeg
 这段代码上报卸载信息和停止卸载的,解释掉就可以直接卸载了。还是修改完拖回到原位置。
终端进入脚本文件地点位置
cd/Library/sf/edr/agent/bin   确保脚本文件有可实行权限。如果没有,可以使用以下下令添加权限
chmod +x eps_uninstall.sh 运行脚本,把eps_uninstall.sh拖入终端或使用以下下令:
./eps_uninstall.sh 如出现edr agent uninstall success则卸载成功。
https://img-blog.csdnimg.cn/ca03ab2494fe47bf929778538e832ce0.png


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页: [1]
查看完整版本: MAC卸载深佩服edr