如何关掉迈克菲杀毒软件：利用Mcafee管理工具绕过McAfee杀毒软件

如何关掉迈克菲杀毒软件：利用Mcafee管理工具绕过McAfee杀毒软件Microsoft Windows [Version 10.0.16299.15] (c) 2017 Microsoft Corporation. All rights reserved. C:\Users\user>"C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\ESConfigTool.exe" /export C:\temp\Export.xml /module TP /unlock starwars /plaintext Description: Endpoint security configuration tool for exporting and importing policy configuration. User needs administrator privileg

那么，如果我们提供了错误的密码，将密码检查函数中断，并将RAX寄存器的值改为0，会发生什么情况呢？

成功导出设置！

看来密码检查只是由工具本身完成的，不牵涉其他组件，也不需要解密。

绕过管理员权限

在没有管理员权限的情况下，ESConfigTool工具能使用的功能是非常有限的：

Microsoft Windows [Version 10.0.16299.15] (c) 2017 Microsoft Corporation. All rights reserved. C:\Users\user>"C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\ESConfigTool.exe" /export C:\temp\Export.xml /module TP /unlock starwars /plaintext Description: Endpoint security configuration tool for exporting and importing policy configuration. User needs administrator privileges to run this utility. Utility needs password if the client interface is password protected. File supplied for import must be an encrypted file. USAGE: ESConfigTool.exe /export <filename> [/module <TP|FW|WC|ESP> ] [/unlock <password> ] [/plaintext ] ESConfigTool.exe /import <filename> [/module <TP|FW|WC|ESP> ] [/unlock <password> ] [/policyname <name> ] ESConfigTool.exe /help C:\Users\user>

我们怎样才能知道权限检查的流程呢？先让我们以普通用户的身份运行调试器，看看会发生什么。发现它调用一个函数，并对返回值进行字符串比较，如果返回代码不是0，则调用“exit”。

如果追踪这个函数，会发现它将最终调用AllocateAndInitializeSid。不过这些都不值得花时间去逆向。让我们再次尝试偷懒的方法更改函数返回值。

返回值检查如下：