卸载没有卸载例程的minifilter驱动程序?

时间:2016-05-23 17:03:32

标签: windows windows-installer minifilter

对于有FS微过滤器经验的人来说,这可能是一个非常容易回答的问题。我试图脚本删除过滤器驱动程序和设备。

一些背景......此驱动程序在Windows 8/10 x64上运行。创建驱动程序的供应商在完成我的删除工具请求时没有帮助。不幸的是,他们的MSI卸载是错误的,只有一半的时间运行它...他们希望我们升级到他们的最新版本,没有我们在卸载过程中遇到的错误。我们对继续使用这个软件不感兴趣所以付费升级似乎是无聊的......他们唯一的建议就是在没有包含FS微过滤器设备的软件的情况下对计算机进行重新映像......这样的问题是因为它已经开启了1000多台电脑......

基本上,他们的官方卸载程序会对其中一台服务器执行API回调,并验证计算机是否有资格卸载:

  1. 主网络适配器的MAC地址是否存在于其中 数据库?
  2. 您输入的用于卸载的密码是否匹配 他们的数据库中设置了什么?
  3. 如果您符合条件,它会运行MSI卸载并禁用FS过滤器,删除驱动程序文件,服务文件,配置和重新启动...这使我们无法正常批量删除(他们的方式)是在移除过程中(检查资格后)MSI冻结并要求我们重启客户端计算机最多3次以完成卸载。

    我已经能够通过外部安装Windows文件系统并手动删除System32 / Drivers下的驱动程序文件并删除所有实际程序文件/服务来成功删除软件和设备/驱动程序。我无法将其启动到加载minifilter的同一分区。正在运行的minifilter驱动程序正在保护那些程序文件,注册表项和System32下的实际.sys文件...

    我已经对他们的MSI进行了一些基本的逆向工程......他们正在使用自定义操作来执行删除...第一步是删除服务,第二步是删除微过滤器。这两个动作都是通过MSI中打包的可执行文件完成的......我已经解压缩并试图通过运行它们在MSI期间执行的相同命令来使用它...我没有任何运气。微过滤器不想死。

    他们有一些通过DLL加载的其他自定义操作。初步调查让我认为它的所有自定义卸载资格疯狂。

    看起来他们的minifilter没有内置的卸载例程。使用FLTMC我尝试分离和/或卸载时出现此错误:

    0x801f0010 Do not detach the filter from the volume at this time.
    0x801f0014 Do not detach the filter from the volume at this time.
    

    有没有人知道卸载导致这些错误的微过滤器的好方法?

2 个答案:

答案 0 :(得分:2)

尝试通过以下方式踢出内核的FltMgr.sys:

  1. 重命名%SystemRoot%\ sytem32 \ drivers \ FltMgr.sys
  2. 或将HKLM \ SYSTEM \ CurrentControlSet \ Services \ FltMgr \ Type更改为0x4(已禁用)
  3. 重新启动
  4. 微过滤器无法使用过滤器管理器。

答案 1 :(得分:1)

如果您非常绝望,请查看Windows PE,作为Windows评估和部署工具包的一部分提供。

Windows PE映像可以远程安装到计算机的硬盘上,并配置为执行您需要完成的任务,然后自动重新启动回原始操作系统。这样做可以提供与外部挂载受感染文件系统相同的访问权限,但可以自动执行。我过去曾使用这种方法在几百台机器上自动执行离线维护任务(例如,更改Symantec Endpoint Protection“保护”的注册表设置),并且一旦 工作得很好。

我的电子邮件地址位于我的个人资料中,如果您决定使用此方法,我们欢迎您与我联系,并对实施该问题有疑问。

或者,根据您的司法管辖区和情况,如果他们拒绝提供适当的解决方案,您可能会考虑通过诉讼来威胁供应商。他们打破了你的计算机,修复它应该是他们的工作。从声音来看,他们甚至不需要做任何工作,只需让你免费升级几个星期。