1、在终端将云查引擎取消勾选,再运行编译观察编译是否慢。终端上无法设置可以从管理平台上配置。可以将测试终端单独分组出来进行测试。
![]()
2、在平台上新建个测试分组,将实时监控关闭后,在终端观察是否慢
![]()
3、将卡慢软件的目录和卡慢软件进程加白,再测试,观察是否还会卡慢。
4、解除自保护,将文件sfepolicy.dat重命名成sfepolicy.dat_b后,重启终端EDR服务(平台上禁用然后启用,若无法连平台可以重启edr_monitor和sfavsvc进程)观察是否慢。
5、临时解除自保护方式:
(1)使用管理员权限打开cmd,cd切换到edr安装路径
(2)执行generalcfg.exe disable -p 然后将回显内容发给组内资深获取密码
获取密码后写入后提示success则为成功
![]()
6、将
sfeumsor.sys (热补丁用户态)、
sfeknl.sys (信息采集)、
sfehpatch.sys (热补丁内核态)、
sfesp.sys (自保护)、
sfavflt.sys (实时监控+自保护)、
SfavBoot.sys (EDR驱动还原)、
sfwtp.sys (微隔离流量)、
sfenetmon64.sys (dns域名采集)、
sxfapi.sys sxfapi64.sys sxfcore.sys sxfknl.sys sxfknl64.sys (流氓软件这几个可以同时禁用)
这几个驱动依次禁用(不知道路径的可以本机电脑上搜一下,有些是在edr的安装路径,有些是在c:\windows\system32\drivers\下),观察是否还会有现象。
7、驱动禁用方法:
(1)解除自保护(每禁用一个驱动后需要重启agent服务,重启agent服务后需要重新解除自保护)
(2)重命名C:\Windows\System32\drivers目录下或者EDR安装目录中的对应驱动名称
(3)以管理员权限运行cmd,执行sc stop sfavflt(禁用哪个驱动这里就改成对应的名称)
(4)从管理平台上重启agent服务(若无法连平台可以重启edr_monitor和sfavsvc进程,以管理员权限打开cmd,依次执行taskkill /f /im edr*和taskkill /f /im sfav*)
以管理员权限运行cmd,执行sc query sfavflt (如果是 stopped 状态说明停止成功。如果是running 或者 stop_pendding状态说明停止失败,检查之前步骤重新执行)
8、如果上述操作未解决,可收集信息流转L3协助;
常见案例分享:
磁盘空间占满导致的第三方程序报错