I know one thing That I know nothing

Trend Micro Office Scan Agent Uninstall, Unload ve Unlock Password Bypass

Trend Micro Office Scan Agent USB engelleme vb. bir çok özelliği ile birlikte kullanılabilmekte. Uygulanan bu politikalar değiştirilmesin diye Unload,Unlock ve Uninstall gibi işlemleri şifre ile korunmaktadır.

Biz testimizde bir admin mecbur kalır ise bu şifre isteğini aşılarak nasıl işlem yapabileceğini test edeceğiz.

Nedeni ise;

Şifre değişikliğinin update ile agent tarafından alınamadığı, daha önceden verilen şifrenin bilinmemesi ve network bağlantısının olmadığı vb. durumları düşünebilirsiniz.

Şifre ile kısıtlanmış bir agent üzerinde unlock, unload yada uninstall yapmaya çalıştığınızda aşağıdaki şekilde sizden geçerli yetkili şifresinin girilmesi istenir.

Trend Micro atanan şifreyi aşağıdaki path içerisindeki “OFCSCAN.INI” dosyasında Encrypted bir şekilde saklamaktadır.

C:\Program Files (x86)\Trend Micro\OfficeScan Client\

Şifre gerektirmeden işlemlerimizi yapabilmemiz için Register içerisindeki “NoPwdProtect” ve “Allow Uninstall” objelerinin değerlerini değiştirmemiz gerekiyor. Ancak sistem bunu korumaktadır.

Bu değerleri değiştirmek istediğinizde aşağıdaki şekilde hata alınmaktadır;

Değerleri değiştirebilmek içinde servisler içerisinde yer alan “TMBMServer” servisini durdurmamız gerekiyor.

Servisin Start Type: Manuel dir. Siz “Disabled” duruma çekseniz dahi sistem otomatik olarak kendisini manuel durumuna geri alır. Running durumundan çıkartamazsınız.

İşlemlerimize başlıyoruz;

Run üzerinden MSConfig ara yüzünü çağırıyoruz.

MSConfig ara yüzündeki Boot seçeneği içerisindeki “Boot Options” alanından Safe boot seçerek OK ile çıkıyoruz.

Sistemi yeniden başlatmamız gerektiği belirtiliyor Restart diyerek yeniden başlatıyoruz.

Sistem Güvenli Mod ile açılıyor.

Run üzerinden Servisler ara yüzünü çağırıyoruz.

Servisimiz yine Manuel type durumunda ancak Stopped status ile geliyor.

Status Type Disabled çekerek OK ile çıkıyoruz.

Ardından Boot seçeneği içerisindeki “Boot Options” alanından Safe boot seçeneğini kaldırarak sistemin normal şekilde açılmasını sağlıyoruz.

Sistem tekrar açıldıktan sonra regedit ayarlarını değiştirmemiz gerekiyor. Bunun için isterseniz manuel regedit kayıtlarına ulaşarak aşağıdaki şekilde değiştirebilirsiniz, isterseniz aşağıdaki satırları bir txt içerisine kaydedip ardından dosya uzantısını “.reg” olarak rename edip çalıştırarak değiştirebilirsiniz. (Client x64)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.]

“NoPwdProtect”=dword:00000001

“Allow Uninstall”=dword:00000001

Ben reg dosyası ile işlemleri gerçekleştiriyorum.

İşlemlerimizi test ediyoruz.

Unlock Testi;

Unload Testi;

Test sonrası agent kapandığı için görsel oluşmuyor.

Uninstall Testi;

İşlemlerimizi şifre gerekliliği duymadan gerçekleştirmiş olduk.

Bu işlemlerin yapılabilmesi için işlemi yapan kullanıcının “LOCAL ADMIN” haklarına sahip bir user olması gerekmektedir.

Bu haklara sahip olmayan bir kullanıcı ile Güvenli Mod geçişi yapıldığında Servisler alanında Service Status Stopped gelecek ancak Startup Type pasif görünecektir ve Regedit üzerinde ilgili değişiklik yapılamayacaktır.