背景
深信服 EasyConnect 是国内广泛使用的企业级 SSL VPN 客户端,常用于高校、企业的远程办公场景。然而,该软件存在以下问题:
- 卸载不干净:官方卸载程序会留下大量残留
- 常驻后台:即使不连接 VPN,进程也会持续运行
- 内核级监控:安装 NSP/LSP 驱动,可拦截所有网络流量
- 安装根证书:能够解密用户的 HTTPS 流量
- 数据收集:可能收集终端信息并上报
发现过程
初步检查
通过任务管理器发现以下进程在后台运行:
| 进程名 | 说明 |
|---|---|
SangforPromoteService.exe | 推送服务 |
SangforPWEx.exe | VPN安全保护服务 |
SangforUDProtectEx.exe | 终端安全防护 |
注册的系统服务
SERVICE_NAME: SangforPWEx
DISPLAY_NAME: Sangfor VPN Security Protect Service
STATE: RUNNING
SERVICE_NAME: SangforSP
DISPLAY_NAME: SangforSP
安装的根证书
Subject: OU=Sangfor Technologies Inc., O=Sangfor Technologies Inc., L=shenzhen, S=guangdong, C=CN
Thumbprint: A9062C5C1721FF87EBCBD89DF03719755560E7A0
该根证书位于系统和用户两个证书存储区。
清理步骤
第一步:停止并删除服务
以管理员权限运行 CMD:
net stop SangforPWEx
sc delete SangforPWEx
sc delete SangforSP第二步:删除残留目录
需要删除的目录:
C:\Program Files (x86)\Sangfor
C:\Users\{用户名}\AppData\Roaming\Sangfor
C:\ProgramData\Sangfor
注意:部分文件可能被系统锁定,需要特殊处理。
第三步:处理被锁定的 NSP/LSP 文件
如果遇到 SangforNsp.dll 等文件无法删除:
C:\Program Files (x86)\Sangfor\SSL\ClientComponent\1_SangforNsp.dll - 拒绝访问
C:\Program Files (x86)\Sangfor\SSL\ClientComponent\SangforNspX64.dll - 拒绝访问
这是因为深信服安装了 Winsock NSP(Name Space Provider) 驱动,被网络子系统加载。
解决方法
方法一:重置 Winsock(会影响网络配置)
netsh winsock reset
netsh int ip reset重启电脑后再删除目录。
方法二:安全模式删除(推荐)
- 按
Win + R,输入msconfig - 点击「引导」选项卡,勾选「安全引导」→「最小」
- 重启进入安全模式
- 删除残留目录
- 再次打开
msconfig,取消「安全引导」 - 重启恢复正常
第四步:删除根证书
打开证书管理器(certlm.msc):
- 展开「受信任的根证书颁发机构」→「证书」
- 找到
Sangfor Technologies Inc.证书 - 右键 → 删除
或使用 PowerShell:
Remove-Item -Path "Cert:\LocalMachine\Root\A9062C5C1721FF87EBCBD89DF03719755560E7A0" -Force
Remove-Item -Path "Cert:\CurrentUser\Root\A9062C5C1721FF87EBCBD89DF03719755560E7A0" -Force验证清理结果
检查进程
tasklist | findstr /i "sangfor easyconnect"应无输出。
检查服务
sc query SangforPWEx
sc query SangforSP应返回「指定的服务未安装」。
检查证书
Get-ChildItem Cert:\LocalMachine\Root | Where-Object { $_.Issuer -like '*Sangfor*' }应无输出。
检查目录
确认以下目录已不存在:
C:\Program Files (x86)\SangforC:\Users\{用户名}\AppData\Roaming\SangforC:\ProgramData\Sangfor
深度分析:为什么这么难删?
深信服的监控架构
浏览器发起请求
↓
Socket API
↓
Winsock 层 ← 【NSP 在这里拦截,已经看到原始流量】
↓
TCP/IP 协议栈
↓
网卡驱动
↓
物理网卡 → 出去
深信服通过 NSP/LSP 驱动在 Winsock 层拦截,比普通代理软件(VPN、Clash 等)更底层。
为什么 VPN 挡不住?
| 软件 | 工作层级 | 能否阻止深信服 |
|---|---|---|
| 深信服 NSP | Winsock 层 | - |
| Clash TUN | 虚拟网卡层 | ❌ 太晚 |
| 普通 VPN | 网络接口层 | ❌ 太晚 |
流量在到达 VPN/代理软件之前,就已经被深信服拦截了。
防护建议
如果必须使用
- 虚拟机隔离:在虚拟机中安装 EasyConnect,只用于访问内网
- 用完即删:使用完毕后立即卸载并清理残留
- 定期检查:确认没有新安装的证书或服务
替代方案
- 向学校/企业申请 Web 版 VPN 门户(无需安装客户端)
- 使用备用的隔离设备访问内网
总结
深信服 EasyConnect 的残留清理需要处理多个层面:
| 层面 | 内容 | 方法 |
|---|---|---|
| 进程 | 后台运行的多个进程 | 任务管理器结束 |
| 服务 | SangforPWEx、SangforSP | sc delete |
| 文件 | 程序目录、用户配置 | 删除目录 |
| NSP驱动 | 被网络栈锁定的DLL | 安全模式或重置 Winsock |
| 证书 | 根证书 | 证书管理器删除 |
彻底清理后,建议重启电脑确认所有残留已清除。
⚠️ 声明:本文仅供技术学习和个人设备维护参考。请在合法合规的前提下操作,确保不违反所在组织的安全政策。
参考资料
最后更新: 2026-05-10