V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Flycici
V2EX  ›  问与答

Sangfor 的 EasyConnect 到底什么鬼,卸载之后竟然不能联网?

  •  
  •   Flycici · 2016-10-10 21:54:34 +08:00 · 26617 次点击
    这是一个创建于 2971 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前为了测试单位里的 ARP 报账系统,装了 Sangfor (深信服)的 EasyConnect 。测试完毕就卸载并删除了 C:\Program Files\Sangfor 目录及子目录。删除时候报有几个 dll 和 sys 文件正被调用无法删除。当时也没在意,心想重启之后应该就没问题了。怎料重启之后,它们还在被调用。

    用 tasklist 看了下,发现几乎所有联网的进程都在调用它们,包括 svchost.exe 。这下子显然不能硬删了。于是就把 C:\Program Files\Sangfor 目录及子目录的权限设成仅读取,于是瞬间爆炸:我发现整台电脑只有 Microsoft Edge 可以正常上网,包括 cmd 在内的其他所有程序都没法解析 IPv4 域名!(ping 不通)

    所以问题来了:
    1. EasyConnect 的原理是什么,到底是哪项设置被修改了,使得所有的 IPv4 域名解析都要走 EC 残余的 dll 和 sys ?
    2. 为什么 Microsoft Edge 依然可以正常联网,是有备用设置?为什么它不使用全局设置?
    3. EC 到底安全不安全?为何不使用这个软件的同时,域名解析流量依然要通过它走?

    求各位大牛赐教。
    5 条回复    2020-10-04 19:53:25 +08:00
    billlee
        1
    billlee  
       2016-10-10 22:21:04 +08:00   ❤️ 1
    试试用 comodo cleaning essentials 的 autorun analyzer 查一下
    Flycici
        2
    Flycici  
    OP
       2016-10-14 17:10:58 +08:00
    @billlee 确实看到注册表里 WinSock 被修改了.
    前几天尝试还原,然后重启以后就不能进 Windows ,包括安全模式......
    最后索性重新安装了
    white3mapers
        3
    white3mapers  
       2018-01-23 16:23:58 +08:00   ❤️ 2
    昨天被恶心到了,今天试了无数种办法才弄好,这个傻逼软件。
    系统:win7 64 位 旗舰版
    原因:寒假回家外网无法访问校内网查询成绩,因此采取访问 vpn.xidian.edu.cn 下载 easyconnect 客户端,然后再查成绩。 重点来了 , 下载安装完毕以后, 双击无法运行, 随后卸载, 卸载进度条走完 , 程序目录内文件无任何变化(未进行任何卸载)。遂强行删除文件,但是还有一个残留 dll 仍在使用无法删除,(此时我已经爆炸无法使用任何 http 服务,只能使用 qq。。。),于是重启删除,删除之后仍然无法上网,但是可以上 qq。ping 百度,表示找不到主机名(即 dns 解析出了问题),于是经历了不断的网卡驱动,协议删除重装等,无果,期间删除 Winsock 重启以后,刚开机的时候发现风扇狂转,于是打开任务管理器查看 cpu 占用率, 发现系统用户为 Local System 的 svchost.exe 占用率高大 50%-70%,因此怀 [疑存在 dll 注入 svchost.exe(之前用火绒剑把启动项包括内核钩子,服务均查了一遍)] 。

    随后在注册表中打开 Winsock 进行人工比对(网上正常的 winsock 和 winsock2,下载 winsock.reg 以及 winsock2.reg 运行的时候,winsock2.reg 报错称部分值因为系统占用无法写入),发现 winsock2 中每一项无法写入键值类型为字符串,键值名称为 Loadlibrary. 的键。 [怀疑 dll hook 阻止该键值的写入] 。

    然后重启进入带命令行的安全模式,运行网上下载的正常的 winsock2.reg ,重启之后可成功上网~~



    具体解决方案如下
    1.百度下载正常 winsock.reg 以及 winsock2.reg

    2.开始-输入 regedit 或打开 cmd 在其中输入 regedit , 打开注册表之后进入目录为
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\
    删除目录下的 winsock 以及 winsock2


    [PS:我在期间还重新安装了 tcp/ipv4 以及 ipv6 等 6 个协议。 具体怎么安装可以百度, 驱动文件在 C:\Windows\inf]
    [现在感觉这步安装协议是多余的可以直接跳过]

    3.重启进入带命令行的安全模式

    通过 cd 进入下载正常的 winsock.reg 和 winsock2.reg 目录,然后执行这 2 个 reg。 可以通过在 cmd 中输入 regedit 查看 Loadlibrary 键值是否正常写入。(我这里 ok) 然后重启即可正常上网。

    ps: 直接 netsh winsock reset 或者 netsh winsock reset catalog 没用。


    再说一点,本来想去深信服官网反馈的,结果这个官网都全是 bug, 通过 qq 号登陆 验证手机 输入验证码之后 [无法绑定] ,怕是接口 gg 了, 然后以游客访问论坛点击发帖或者什么的时候,弹出游客需要绑定手机或者注册账号什么的窗口, 然后这个 [窗口无法关闭] ,真的恶心到了。在线售前客服打开窗口等了 1 分半也没人说话。。
    azhi2007
        4
    azhi2007  
       2020-09-30 17:51:23 +08:00
    这个 VPN 客户端是取决与服务器端部署的服务端软件吗,我页讨厌这个客户端,居然退出后还有进程,不可以换个 VPN 客户端吗
    Flycici
        5
    Flycici  
    OP
       2020-10-04 19:53:25 +08:00
    @azhi2007 可能是私有协议吧?而且会检查客户端版本。只能扔虚拟机里头了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3717 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 00:52 · PVG 08:52 · LAX 16:52 · JFK 19:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.