Cyber Security - Ömer Faruk ACAR: 2014

Malumunuz kurumsal yerlerde bu antivirüs programlarını kuruyorlar ve domain üzerinden şifre korumasıyla erişiminizi engelliyorlar. siz programı kaldırsanız bile geri yükleniyor.Bende bu duruma canı sıkılmış birisi olarak bundan nasıl kurtulabilirim diye düşündüm ve basit bir Registry hilesiyle sorunu çözdüm.

öncelikle windows 8 makinelerde hibernate olarak diski kapattığından kali ile mount etmede sıkıntı yaşıyoruz bunun için bilgisayarı aşağıdaki komut ile kapat
shutdown /s /t 0

sonra kali usb ile kaliyi yükle

bir kere windows un oldugu kısmı açarak mount olmasını sağla sonrasında terminal açarak

cd /media/XXXXXXXXXXXX/Windows/System32/config

burada hangi regitry kaydına gidecek ona ait hive file göstermen lazım

HKEY_CURRENT_USER için NTuser.dat
HKEY_LOCAL_MACHINE\SAM için sam
HKEY_LOCAL_MACHINE\SOFTWARE için software
HKEY_LOCAL_MACHINE\SYSTEM için system
HKEY_USERS\DEFAULT için default

bizim aradığımız key 64 bitlerde lerde
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\DesktopProtection

32 bitlerde
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection

burada UIP değeri boş ve UIPMode değeri 0(sıfır) olarak değiştireceğiz

bunun için chntpw -e software ile software icine girip
cd Wow6432Node\McAfee\DesktopProtection
ed UIPMode

gelen ekranada 0x0 giriyoruz
sonra
cat UIPMode ile değişikliği kontrol ediyoruz
son olarakta q komutu ile çıkıp y komutuyla kaydediyoruz.
bilgisayarı yeniden başlatınca göreceksiniz ki Mcafee de istediğini kontrolü yapabiliyorsunuz

son olarak internet erişimi olmasa bile Mcafee servisi mevcut ePo yu otomatik uyguluyor bunu engellemek için servisi kapatıp servisin çalıştığı kullanıcıyı sizin kendi windows kullanıcınız olarak değiştirirseniz herhangi bir sıkıntı yaşamazsınız.

Cyber Security - Ömer Faruk ACAR

8 Aralık 2014 Pazartesi

McAfee VirusScan Enterprise Kapatma

20 Mart 2014 Perşembe

Windows 8.1 Define Proxy without Reboot