起因

上周甲方要求驻场外包统一安装“奇安信天擎”，但现在外包几乎都不发电脑了，都是个人电脑工作，装这种监控软件肯定膈应。

这玩意儿的策略全靠管理端同步，但大致如下

全盘扫描，网络监控，键盘监控，远程桌面查看和远程控制。装了后就差不多是公司资产了，算个肉鸡。开机自启，关闭程序需要管理员口令。

然后有同事的“火绒”在安装这软件后被瞬间压制，一直被“阻止运行”。于是我只能用ESET给安装包配了hips策略，制造安装失败的假象，然后拉扯。

虽然的确安装失败了，但并没触发hips策略，我怀疑是ESET自带的防火墙策略拦截了操作，因为这个默认是没有弹窗提示的。

转折

这周一甲方安全运维通知我，说外包必须统一安装，让我考虑卸载ESET。于是我只能考虑虚拟机曲线救国。

但之前硬盘坏掉后，vm直接没了，现在虽然免费，但要登录账号，结果却是注册后死活登录不上。最后只能考虑从来没用过的VirtualBox，也是悲剧的开端。

由于奇安信只能在公司网络下同步管理端配置，于是我在周二晚上创建了win10的虚拟机，并提前安装了ESET，导入了我外部主机的配置(hips和防火墙除外)，以便实验ESET是否会被压制。

实验

今早到公司，在虚拟机中安装奇安信(安装没有任何问题，之前为何安装失败更疑惑了)，捣鼓了一上午，大致得出了结果

ESET运行正常，hips策略生效，但无法压制其奇安信自启，它的自启顺序在ESET之前，只能手动删除注册表(Q开头)和禁用服务。其中一个服务会将另外的服务状态改成自动，所以每次关机前都得调整服务状态

崩溃

当捣鼓好这一切之后，才想起看看虚拟机的主机名是否和外部宿主机一致，因为这个是甲方登记要用的。结果创建虚拟机时的配置的主机名没有生效，而现在奇安信已经注册了之前随机的主机名，再修改主机名已经无效了（

现在的资本家连电脑都不给牛马发了吗。

是的，都是让自己带电脑

什么离谱的公司？办公电脑没有就算了，还要求在自己电脑上装监控？

公司不是本地的，然后甲方是本地国企。我这类似于人力外包了

就业市场终于是颠了。

他口中的公司（本地国企）是给自己员工发电脑的，但是贴主是外包，他的劳务公司不给他发。
但是他在公司工作需要接入公司的网络系统，大公司的网络系统都是有这样那样的安全监控。
他不搞又没法工作……

不用考虑这么麻烦，给你一条路径
1、VM 16.1.12
2、网上找现成的 过虚拟机检测的 win10，推荐1909
3、过虚拟需要替换两个文件，具体自行了解 过虚拟机检测的几个修改的内容，例如网卡mac头
4、检测工具运行没问题后，全部删除，包括你的模拟显卡型号能正常识别
5、快照系统后，安装奇安信
6、使用双虚拟网卡策略 实现宿主机通过虚拟机内网络上网；虚拟网卡配置为：桥接 + HostOnly，同时设置宿主机的Vnet1 虚拟网卡的IP 和虚拟机内的 HostOnly 网卡在同一个网段，网关则设置为虚拟机内HostOnly的网卡IP；虚拟机内网络能连接后，点击桥接的网卡进行共享设置；
7、设置宿主机联网的网卡属性，关闭 IP v4协议，强制让宿主机 和 虚拟机通过 host only 通信
8、奇安信 会扫描全盘后，杀毒隔离模拟的显卡驱动（本质是VM的显卡驱动），全部添加信任
9、以上能毫不影响你宿主机的使用，回家或者脱离外包环境 恢复当前网卡的 ipv4 协议就能正常上网，当然你可以给宿主机弄两块网卡

如果只是想想解决的话很简单：
直接找网管说你重装系统，需要重新绑定主机名就完了。

外包真要连吃饭工具都要自带了吗‍我一直以为是调侃

深信服那套入网有个小漏洞。
1、两台实体设备A和B、一台路由器
2、路由器设置不减少跃点数，A和B接入路由器，路由器MAC克隆设备A
3、A随便找个垃圾设备安装奇安信，通过认证进入网络，保持开机
4、干净的B设备就可以一直联网用了，网管侧只能看到设备A的情况。（设备B不能安装任何奇安信的东西，不然会冲突）
5、如果允许手机认证入网，前边的设备A可以改为使用手机。

其实这些软件有个很神奇的机制：
他们监控后会一直在高频读写磁盘，如果是直接在实体机上因此导致的性能损失大概在20~30%左右。
但如果把他放在虚拟机内，磁盘IO损失会被放大，宿主机性能掉的更多。
导致如果监控对联网采用了心跳包检测机制，导致需要持续开启虚拟机。
持续使用一段时间后，宿主机就会卡的要死不活的了 就很难绷

我们这里外包也用甲方发的电脑，费用由甲方的部门自己承担

說沒有個人電腦，會怎麼處理?

這個入職合同可能已經寫好了，很多年前我工作時是二選一，公司配或者自己帶電腦，自己帶每個月有補貼。

不太清楚他的情况，一般是二选一：
公司免费配，但只能发啥电脑用啥，或者自己买公司给一次性补贴。

看合同了，我遇到过的有甲方提供设备和软件给我们的（他们要求全正版），也有要求我们自行准备设备的（需要让他们安装特定入网软件）的。

工作就是敲代码啊，每天背进背出的

我们不是和甲方签的合同。类似于，入职B，A招外包人员(非项目外包)，B接活了，把我们这批对点招的人派过去驻场开发

我打算空下来了重新装个虚拟机，然后按部就班再弄一下，VB可以改虚拟机网卡的物理地址，我把这些都和主机改成一样的，网络用nat模式也行。

这次主要目的已经达成了，就是看ESET会不会被压制，以及实验怎么卸载干净。甲方的人也只是通知了我一下，暂时也没后续了

观察日志分析是获取explorer.exe访问权后进行扫盘的。我用hips策略把这个行为拦截了。

目前的思路是只允许启动ui，主程序，管理端通讯组件，其他行为全部拦截，其他组件全部禁止运行。保持个“在线”状态就行了