有个up找边亮科普了下前几天火绒误杀explorer.exe的原因
本帖最后由 Sza 于 2024-2-21 10:22 编辑标题是《独家解密火绒误杀win10系统文件背后的真相》,边亮是360公司网络安全专家
https://www.bilibili.com/video/BV1TA4m137zw/
首先火绒没把系统文件放白名单。其次微软近期的KB5034203、KB5034763等补丁会使资源管理器对中国地区的360安全卫士进行进程枚举,打点记录ETW日志。火绒把它当成反病毒木马处理了。
编辑:我上面的表述容易产生误解,16楼坛友的总结更加准确。
再次编辑:原视频已删,b站可能有人补档了。看楼里坛友的分析,以及知乎上的一些回答,微软这个操作可能是为了兼容360在任务栏的搜索窗口。 前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊
是正好错开了么? zmw_831110 发表于 2024-2-20 13:23
前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊
你没安 360 吧,楼主说是系统文件扫描 360 的文件被当病毒了 你知道我的 发表于 2024-2-20 13:29
你没安 360 吧,楼主说是系统文件扫描 360 的文件被当病毒了
那的确是的 zmw_831110 发表于 2024-2-20 13:23
前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊
不清楚,我也是装了火绒的win10 22h2,没遇到问题。之前我唯一一次火绒出问题还是和卡巴斯基同时安装导致的开机蓝屏,后来重装系统了。
总之按火绒在微博发的https://card.weibo.com/article/m/show/id/2309405002810675822934上的办法先更新下火绒再说。 win内置了啥后门大家都门清,没有什么白莲花,这只是影响人正常使用了才爆出来,察觉不到的鬼知道有多少 zmw_831110 发表于 2024-2-20 13:33
那的确是的
看了视频,和 360 没关系,单纯是微软的问题 为什么是旧版 Explorer 出事,难道就是旧版交给国内搞微软电脑管家的团队来维护了? 这人偷偷改了标题吧
一个安全软件 把系统软件级别放的比流氓软件低?? 各大杀软默默的允许了explorer的行为XD hein 发表于 2024-2-20 15:35
各大杀软默默的允许了explorer的行为XD
毕竟这个 Explorer 没有被注入官方耍流氓无解了 win10 ltsc版本16号自动更新 就被火绒杀了,然后用了系统还原后禁用系统更新,火绒还是留他一命没卸载 瓦格雷 发表于 2024-2-20 15:17
一个安全软件 把系统软件级别放的比流氓软件低??
楼主没表达清楚,视屏中说的是新版win10的explorer.exe的行为很不对,例如时间戳是错误(2085年),针对中国用户对360软件进行进程枚举等等,这些行为很像Avkiller木马,火绒就把explorer进城当木马杀了。
说白了就是微软官方耍流氓被无感情的杀毒软件抓包,其他软件可能都习以为常早就把win系统文件设白名单了,但是火绒没设,所以出问题了。 那win版本控制在哪个版本比较好啊 XXXEnetity 发表于 2024-2-20 15:55
楼主没表达清楚,视屏中说的是新版win10的explorer.exe的行为很不对,例如时间戳是错误(2085年) ...
看到那个视频下面有个回复说政府单位都要求安装360,虽然我不懂,但是还是用围观群众心态,兴奋的点了赞XD hein 发表于 2024-2-20 16:04
看到那个视频下面有个回复说政府单位都要求安装360,虽然我不懂,但是还是用围观群众心态,兴奋的点了赞X ...
政府在网络安全这块确实一直跟360合作的之前好多起美国的网络攻击也是被它抓到了证据了 技术肯定没问题 就是民用软件这块太流氓
—— 来自 meizu 16s, Android 9上的 S1Next-鹅版 v2.5.4 如果有白名单,病毒有没有可能替换掉白名单里的软件躲过查杀。 wuuuuuud 发表于 2024-2-20 16:12
如果有白名单,病毒有没有可能替换掉白名单里的软件躲过查杀。
有签名的,签名无法被伪造也无法否认。估计其他杀软看到微软签名就放行了。 临界点 发表于 2024-2-20 16:11
政府在网络安全这块确实一直跟360合作的之前好多起美国的网络攻击也是被它抓到了证据了 技术肯定没问题 ...
但政企线应该是奇安信吧,并不等同360 hein 发表于 2024-2-20 15:35
各大杀软默默的允许了explorer的行为XD
官洲放火你敢吭声?
看到下场了吗?
要求必须安装奇安信 微软又搞小动作?
—— 来自 Xiaomi 22041211AC, Android 12上的 S1Next-鹅版 v2.5.4 那么卡巴斯基呢 偷群友的分析
逆向看了逻辑了:
如果设备不在欧盟地区,且设备没有加入域控,且地区是中国,则枚举系统进程;
如果存在进程名为 360 四个典型进程名之一的进程,则无条件禁用自己的通知栏 feed 功能,无论用户是否设置开启。
背景知识:
360 会在通知栏使用非标准 api 自绘一堆设备电量之类的小控件
我的看法:
估计是 360 自绘的破玩意和 explorer 的 feed 绘制冲突了,微软这是在特地兼容 360
— from meizu MEIZU 20 Pro, Android 13 of S1 Next Goose v2.5.2-play aritionkb 发表于 2024-2-20 18:42
偷群友的分析
逆向看了逻辑了:
有道理,Explorer 还有任务栏的功能,Win11 是新写的任务栏所以只有 Win10 的存在问题 视频已被 Up 主删除 这也过于dirty hack了,是实习生搞的么… aritionkb 发表于 2024-2-20 18:42
偷群友的分析
逆向看了逻辑了:
如果是这样,结合16楼的视频内容摘要,那就太喜剧了 草,ShellFeedsDMAHelpers::IsDeviceInDmaRegion这个是Designated Market Area吗,是欧盟地区?我之前看的时候还在想为啥要判断DMA设备
主要逻辑就在ShellFeedsCampaignHelper::CheckCampaignAvailability这里面,主要是检查活动是否可用?不了解Feeds组件是干啥的,反正一顿IsFeedsAvailable、IsDeviceInDmaRegion、IsInCampaignEnabledRegion、IsEnterpriseDevice,判断了一堆Feeds可用性、地区,然后特地拉出来一个IsHijackingProcessRunning判断360的进程,硬编码写里面还是太搞了 这个视频的边亮就是360的工程师,套个民族大义的帽子忽悠人呢。如果微软的后门做的如此粗糙,太几把草台了 狗p微软坑我熬夜修电脑
—— 来自 HUAWEI OCE-AN10, Android 12上的 S1Next-鹅版 v2.5.2-play XXXEnetity 发表于 2024-2-20 15:55
楼主没表达清楚,视屏中说的是新版win10的explorer.exe的行为很不对,例如时间戳是错误(2085年) ...
One of the fields in the Portable Executable (PE) header is called TimeDateStamp. It’s a 32-bit value representing the time the file was created, in the form of seconds since January 1, 1970 UTC. But starting in Windows 10, those timestamps are all nonsense. If you look at the timestamps of various files, you’ll see that they appear to be random numbers, completely unrelated to any timestamp. What’s going on?
One of the changes to the Windows engineering system begun in Windows 10 is the move toward reproducible builds. This means that if you start with the exact same source code, then you should finish with the exact same binary code.
时间戳那个明显尬黑了,可重复构建这个事儿软子和各个包管理器的人都在推,不是很新鲜的事儿了
https://devblogs.microsoft.com/oldnewthing/20180103-00/?p=97705 看来是贼喊捉贼。
—— 来自 S1Fun 绯田美琴 发表于 2024-2-20 21:51
草,ShellFeedsDMAHelpers::IsDeviceInDmaRegion这个是Designated Market Area吗,是欧盟地区?我之前看的 ...
DMA是 Digital Markets Act,就是前两天那个迫使苹果开放iPhone应用市场的欧盟法律