一次EDR和软件冲突的排查

问题描述：

用户安装EDR后，Quectel软件无法正常使用。软件版本：3.5.30.1754

排查方案：

排查方法一：EDR终端针对问题进程进行排查测试

操作方法：

1、终端打开EDR的UI界面，点击右上角“三”的图标，打开【信任区】，可以针对文件、目录、进程添加信任

2、添加对应的软件进程路径即可。

排查方法二：禁用EDR驱动再次尝试

操作方法如下：

（服务端禁用agent-sc stop sfavflt.sys-修改文件名称（上次的改回，本次的修改）-开启agent -测试问题软件兼容性，共5个驱动，需要重复本过程5次）

1、从管理平台禁用问题终端agent

2、终端上以管理员身份打开cmd，输入sc stop sfavflt（关闭自保护，否则下一步无法进行）

3、修改如下路径下的驱动名称：（改名后驱动无法拉起，若问题软件恢复则定位到问题驱动）

目录：

C:\Windows\System32\drivers\sxfknl.sys

C:\Program Files\SF（或sangfor）\EDR\agent\bin\

驱动名称：（⚠️：驱动一回在两个目录下改同一个驱动的名称。）

sfeknl.sys、sfavflt.sys 、sfesp.sys、sfeumsor.sys、sfehpatch.sys

4、从管理平台启用agent后，再进行测试

问题处理：

最终定位到sfavflt.sys驱动有问题：修改此驱动名称后，再启用agent发现问题软件恢复正常。再用400提供的sfavsvc.exe禁用agent，关闭自保护后，替换C:\Program Files\SF（或sangfor）\EDR\agent\bin\sfavsvc.exe文件后拉起sfavflt.sys驱动也能正常使用了。为已知问题，需要打补丁包（edr_custom_i_rtpagent_EDR-2023011609_20230116175611.pkg）来解决。联系400获取。

感谢楼主分享！文章对解决EDR和软件冲突问题很有帮助，后续如遇到此类问题可以优先禁用或者退出EDR测试，若通过禁用或者退出EDR测试软件使用正常则可以联系4006306430获取协助，禁用EDR驱动等方式需要先关闭EDR的自保护功能，需要400工程师协助，期待楼主有更加精彩的分享~

感谢分享！！！学习一下！！！！

感谢分享，有助于工作，学习了！！！

感谢分享，有助于工作，学习了！！！

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。