天融信EDR 彻底卸载方法

之前按照学校通知，通过校内网安装了天融信终端威胁防御系统进行杀毒，使用一段时间后想换回自己熟悉的杀毒软件，发现需要企业卸载密码才能卸载。

上述经历是笔者一个同学的经历

笔者在经过多次折腾后，现总结可能的卸载方法如下：

【一】通过注册表项获取密码，输入密码进行卸载

原理：

天融信的注册表中有一个键存储卸载密码的密文，对该密码进行解密即可获取明文。

方法：

打开注册表编辑器，找到以下位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Topsec\ESEndpoint\app\admin

查看该文件夹，找到[UninstallPassword]项，右键复制该密文。

笔者电脑里注册表上的密文如下：

8642db44fd87cc94ae12927285040dca

直接复制给天融信卸载软件，果然无效。该密文应当采用了某种标准加密算法。

在研究一阵子之后，受天融信防火墙密码恢复手记 (seebug.org)的启发，猜测该密文为MD5加密，遂提交密文至cmd5.com，解析出明文如下：

密码原来就是“天融信”自己，看来企业大概没有去主动设置卸载密码。将密码复制给卸载软件，成功卸载。

如果不幸地，上述网站没能解密你的密文（几率极小），可以接着尝试以下方法。

【二】注册表修改键值，绕过密码限制

原理：

天融信的注册表中有一个键决定在卸载时是否需要“卸载密码”，将键值更改为'false'理论上即可绕开卸载限制。

方法：

打开注册表编辑器，找到以下位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Topsec\ESEndpoint\app\admin

查看该文件夹，找到[UseUninstallPassword]项，右键修改内容为0，之后重启电脑。

由于天融信对注册表设置了写保护，所以需要使用具有SYSTEM权限的注册表编辑器来修改键值。

微软提供了一个以SYSTEM权限运行应用的实用程序PsExec，可以通过以下链接下载并解压：

PsExec - Windows Sysinternals | Microsoft Docs

然后打开cmd，切换到解压目录，运行如下指令打开注册表编辑器，再按照上述步骤操作即可。

PsExec -i -d -s c:\windows\regedit.exe

【三】进入安全模式手动删除文件

原理：

安全模式不会加载除系统关键软件以外的启动项，因此可以摆脱“天融信”的保护措施。

方法：

进入安全模式，手动删除所有Topsec相关的注册表，删除Program Files下的Topsec目录，理论上可以解决问题。但手动删除容易出现删不干净的情况，甚至可能出现删过头导致系统崩溃的情况。操作难度较大，谨慎尝试。

【四】“以毒攻毒”，使用第三方软件卸载

使用360解除占用+强力卸载可以解决90%的问题，但“请神”会带来更多的后遗症，谨慎尝试。

【五】重装系统

如果上述办法皆无效，或许只有重装系统才能彻底解决问题。进PE拷贝重要文件后重装罢。如果之前有创建还原点可以降低损失。