MAC卸载深信服edr

一、普通办法
1、首先在应用程序中找到终端防护中心，右键显示原项目。

 

2、全选删除所有文件，其中有一个sfavtray文件无法删除，这里先删除其他文件，不然底3步结束进程会自动恢复。

 

3、在活动监视器中查找进程名为sfavtray、edr的进程，强制结束。把sfavtray进程结束后，edr就不在状态栏显示了。

 

 

还有一个进程endpointsecurityd一直无法强制结束，好像也没什么用。 

 4、删除资源库下的sf 文件夹所有文件，路径是/Library/sf，同时用腾讯柠檬开启启动管理里把com.sangfor.edr_agent.plist选项关闭，把这个文件删除。

二、快捷方法

~/Library/sf/edr/agent/bin 

进入~/Library/sf/edr/agent/bin ,找到eps_services_check.sh 和eps_uninstall.sh 两个脚本文件，一个是检测edr服务的，一个是可以直接卸载edr的。 这里的脚本文件不能直接修改，必须先将脚本文件拖到其他位置,比如桌面上，修改完再拖回来，直接替换。

1、如何让edr能退出不自动恢复启动

将eps_services_check.sh 拖到桌面，先注释或删除脚本中恢复启动的代码如图：

 修改完再拖回原位置覆盖，在活动监视器中先强制退出这两个edr进程

 再强制退出sfavtray进程，可以看到EDR已经完成退出不会自动恢复了。

​​​​​​​

 2、如何卸载edr

将eps_uninstall.sh 拖到桌面，先注释或删除掉脚本中恢复启动的代码如图：

 这段代码上报卸载信息和停止卸载的，注释掉就可以直接卸载了。还是修改完拖回到原位置。

终端进入脚本文件所在位置

cd  /Library/sf/edr/agent/bin

  确保脚本文件有可执行权限。如果没有，可以使用以下命令添加权限

chmod +x eps_uninstall.sh

运行脚本，把eps_uninstall.sh拖入终端或使用以下命令：

./eps_uninstall.sh

如出现edr agent uninstall success则卸载成功。