1. дома
  2. Вопрос и ответ
  3. Выгрузить мини-драйвер без разгрузки?

Выгрузить мини-драйвер без разгрузки?

2016-05-23 6 views
1

Это, вероятно, довольно простой вопрос для ответа для тех, кто сталкивается с мини-фильтрами FS. Я пытаюсь выполнить сценарий удаления драйвера фильтра и устройства.Выгрузить мини-драйвер без разгрузки?

Немного фона ... этот драйвер работает в Windows 8/10 x64. Поставщик, создавший драйвер, не помог выполнить мой запрос на инструмент для удаления. К сожалению, их удаление MSI является ошибкой и работает только в половине случаев, когда вы его запускаете ... Они хотят, чтобы мы обновлялись до их новой версии, в которой нет ошибки, с которой мы сталкиваемся во время удаления. Мы не заинтересованы в продолжении использования этого программного обеспечения, поэтому платная модернизация кажется легкомысленной ... Единственное их предложение - перекомпоновать компьютеры без программного обеспечения, которое включает в себя устройство мини-фильтров FS ... Это из вопросов, потому что оно включено 1000+ компьютеры ...

в основном, их официальный деинсталлятор делает API обратного вызова к одному из своих серверов и проверяет машины право удалить:

  1. ли МАС-адрес основного сетевого адаптера существуют в их база данных?
  2. Введите код, который вы ввел для удаления: Что задают в вашей базе?

Если у вас есть право на участие, он запускает деинсталляцию MSI и отключает фильтр FS, удаляет файл драйвера, служебные файлы, конфигурацию и перезагружает ... Ошибка, из-за которой мы не выполняем обычное массовое удаление (их способ) заключается в том, что MSI зависает во время процесса удаления (после проверки права на участие) и требует перезагрузки клиентского компьютера до 3 раз, чтобы завершить удаление.

Я смог успешно удалить программное обеспечение и устройство/драйвер путем внешнего монтирования файловой системы Windows и вручную удалить файл драйвера под System32/Drivers, а также удалить все фактические файлы/службы программы. Я не смог выполнить эту загрузку на том же разделе, где загружен минифильтр. Драйвер minifilter, который работает, защищает эти программные файлы, раздел реестра и фактический файл .sys в System32 ...

Я сделал некоторые основные обратные разработки своих MSI ... Они используют пользовательские действия для выполнения удаления ... Первый шаг - удаление услуги, вторым шагом является удаление минифильтра. Оба действия выполняются с помощью исполняемого файла, который упакован в MSI ... Я извлек это и попытался использовать его, запустив те же команды, что и во время MSI ... Мне не повезло. Минифилтер просто не хочет умирать.

У них есть другие пользовательские действия, которые загружаются через DLL. Первоначальное расследование заставляет меня думать, что все их пользовательские удалили права на безумие.

Похоже, их минифильтр не имеет выгрузку рутины, построенную в использовании FLTMC я получаю эту ошибку пытается отключить и/или выгрузки:.

0x801f0010 Do not detach the filter from the volume at this time. 
0x801f0014 Do not detach the filter from the volume at this time.

Кто-нибудь знает хороший способ разгрузить minifilter, который бросает эти ошибки?

источник

2016-05-23 Blurn

ответ

1

Если вы достаточно отчаянно, загляните в Windows PE, доступный как часть пакета оценки и развертывания Windows.

Образ Windows PE можно удаленно установить на жесткий диск компьютера и настроить для выполнения любой задачи, которую необходимо выполнить, а затем автоматически перезагрузить в исходную операционную систему. Выполнение этого способа дает вам тот же доступ, что и внешняя установка зараженной файловой системы, но может быть автоматизирована. Я использовал этот подход в прошлом, чтобы автоматизировать автономные задачи обслуживания на нескольких сот машинах (например, изменение параметра реестра, который Symantec Endpoint Protection «защищал»), и при его работе работает неудобно, как только -, работающий над ним Что ж.

Мой электронный адрес находится в моем профиле, вы можете связаться со мной, если вы решили на этом подходе и есть вопросы по поводу его реализации.

В качестве альтернативы, в зависимости от вашей юрисдикции и обстоятельств, вы можете подумать о том, чтобы угрожать поставщику судебным процессом, если они отказываются предоставить надлежащее решение. Они сломали ваши компьютеры, это должно быть их задачей исправить это. Из их звуков им даже не нужно было ничего делать, просто дайте вам обновленную версию на несколько недель бесплатно.

источник

2016-05-26 21:50:18

+0

Спасибо, Гарри. Я ценю ваше любезное предложение помочь с удалением WinPE. Я действительно смог найти команду, которую поставщик запускает во время деинсталляции MSI, которая работает для разгрузки драйвера minifilter. Я смог придумать доказательство концепции, которое выгружает и удаляет все соответствующие файлы/ключи реестра при перезагрузке. Кажется, он работает хорошо, так что, вероятно, это будет направление, в котором я двигаюсь. Я также рассматриваю возможность поделиться этим с продавцом и посмотреть, хотят ли они сделать это более официальным образом. Еще раз спасибо! – Blurn

2

Попробуйте выгнать FltMgr.sys из ядра с помощью:

  1. Переименование% SystemRoot% \ sytem32 \ Drivers \ FltMgr.SYS
  2. Или изменения HKLM \ SYSTEM \ CurrentControlSet \ Services \ FltMgr \ Типа 0x4 (Disabled)
  3. Reboot

минифильтры не может работать без Filter Manager.

источник

2016-05-26 14:27:48 zapador

+0

Hi zapador. Спасибо за предложение этого метода. Я играл с этим, и это похоже на подходящее решение. Тем не менее, я действительно смог найти команду, которую поставщик запускает во время удаления MSI, который работает, чтобы выгрузить мини-драйвер. Я смог придумать доказательство концепции, которое выгружает и удаляет все соответствующие файлы/ключи реестра при перезагрузке. Кажется, он работает хорошо, так что, вероятно, это будет направление, в котором я двигаюсь. Еще раз спасибо! – Blurn

 Смежные вопросы

  • Нет связанных вопросов^_^