找回密码
 立即注册
搜索
查看: 29733|回复: 144

[软件] 有个up找边亮科普了下前几天火绒误杀explorer.exe的原因

[复制链接]
     
发表于 2024-2-20 12:54 | 显示全部楼层 |阅读模式
本帖最后由 Sza 于 2024-2-21 10:22 编辑

标题是《独家解密火绒误杀win10系统文件背后的真相》,边亮是360公司网络安全专家
https://www.bilibili.com/video/BV1TA4m137zw/

首先火绒没把系统文件放白名单。其次微软近期的KB5034203、KB5034763等补丁会使资源管理器对中国地区的360安全卫士进行进程枚举,打点记录ETW日志。火绒把它当成反病毒木马处理了。

编辑:我上面的表述容易产生误解,16楼坛友的总结更加准确。

再次编辑:原视频已删,b站可能有人补档了。看楼里坛友的分析,以及知乎上的一些回答,微软这个操作可能是为了兼容360在任务栏的搜索窗口。
回复

使用道具 举报

头像被屏蔽
发表于 2024-2-20 13:16 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2024-2-20 13:23 | 显示全部楼层
前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊

是正好错开了么?
回复

使用道具 举报

     
发表于 2024-2-20 13:29 | 显示全部楼层
zmw_831110 发表于 2024-2-20 13:23
前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊

你没安 360 吧,楼主说是系统文件扫描 360 的文件被当病毒了
回复

使用道具 举报

     
发表于 2024-2-20 13:33 | 显示全部楼层
你知道我的 发表于 2024-2-20 13:29
你没安 360 吧,楼主说是系统文件扫描 360 的文件被当病毒了

那的确是的
回复

使用道具 举报

     
 楼主| 发表于 2024-2-20 13:35 | 显示全部楼层
zmw_831110 发表于 2024-2-20 13:23
前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊

不清楚,我也是装了火绒的win10 22h2,没遇到问题。之前我唯一一次火绒出问题还是和卡巴斯基同时安装导致的开机蓝屏,后来重装系统了。
总之按火绒在微博发的https://card.weibo.com/article/m/show/id/2309405002810675822934上的办法先更新下火绒再说。
回复

使用道具 举报

     
发表于 2024-2-20 13:55 | 显示全部楼层
win内置了啥后门大家都门清,没有什么白莲花,这只是影响人正常使用了才爆出来,察觉不到的鬼知道有多少
回复

使用道具 举报

     
发表于 2024-2-20 14:20 | 显示全部楼层

看了视频,和 360 没关系,单纯是微软的问题
回复

使用道具 举报

     
发表于 2024-2-20 14:25 来自手机 | 显示全部楼层
之前黑球群还有人发这个视频的预告,标题写的很弱智,但是这个up主水平很高,现在看确实是微软的小动作。

—— 来自 OPPO PGFM10, Android 14上的 S1Next-鹅版 v2.5.2
回复

使用道具 举报

     
发表于 2024-2-20 14:25 | 显示全部楼层
为什么是旧版 Explorer 出事,难道就是旧版交给国内搞微软电脑管家的团队来维护了?
回复

使用道具 举报

     
发表于 2024-2-20 15:04 | 显示全部楼层
这人偷偷改了标题吧
QQ图片20240220150358.png
回复

使用道具 举报

     
发表于 2024-2-20 15:17 | 显示全部楼层
一个安全软件 把系统软件级别放的比流氓软件低??
回复

使用道具 举报

     
发表于 2024-2-20 15:35 来自手机 | 显示全部楼层
各大杀软默默的允许了explorer的行为XD
回复

使用道具 举报

     
发表于 2024-2-20 15:43 | 显示全部楼层
hein 发表于 2024-2-20 15:35
各大杀软默默的允许了explorer的行为XD

毕竟这个 Explorer 没有被注入官方耍流氓无解了
回复

使用道具 举报

     
发表于 2024-2-20 15:53 | 显示全部楼层
win10 ltsc版本16号自动更新 就被火绒杀了,然后用了系统还原后禁用系统更新,火绒还是留他一命没卸载
回复

使用道具 举报

     
发表于 2024-2-20 15:55 | 显示全部楼层
瓦格雷 发表于 2024-2-20 15:17
一个安全软件 把系统软件级别放的比流氓软件低??

楼主没表达清楚,视屏中说的是新版win10的explorer.exe的行为很不对,例如时间戳是错误(2085年),针对中国用户对360软件进行进程枚举等等,这些行为很像Avkiller木马,火绒就把explorer进城当木马杀了。
说白了就是微软官方耍流氓被无感情的杀毒软件抓包,其他软件可能都习以为常早就把win系统文件设白名单了,但是火绒没设,所以出问题了。
回复

使用道具 举报

     
发表于 2024-2-20 16:00 | 显示全部楼层
那win版本控制在哪个版本比较好啊
回复

使用道具 举报

     
发表于 2024-2-20 16:04 来自手机 | 显示全部楼层
XXXEnetity 发表于 2024-2-20 15:55
楼主没表达清楚,视屏中说的是新版win10的explorer.exe的行为很不对,例如时间戳是错误(2085年) ...

看到那个视频下面有个回复说政府单位都要求安装360,虽然我不懂,但是还是用围观群众心态,兴奋的点了赞XD
回复

使用道具 举报

     
发表于 2024-2-20 16:11 来自手机 | 显示全部楼层
hein 发表于 2024-2-20 16:04
看到那个视频下面有个回复说政府单位都要求安装360,虽然我不懂,但是还是用围观群众心态,兴奋的点了赞X ...

政府在网络安全这块确实一直跟360合作的  之前好多起美国的网络攻击也是被它抓到了证据了 技术肯定没问题 就是民用软件这块太流氓

—— 来自 meizu 16s, Android 9上的 S1Next-鹅版 v2.5.4
回复

使用道具 举报

     
发表于 2024-2-20 16:12 来自手机 | 显示全部楼层
如果有白名单,病毒有没有可能替换掉白名单里的软件躲过查杀。
回复

使用道具 举报

发表于 2024-2-20 16:15 来自手机 | 显示全部楼层
wuuuuuud 发表于 2024-2-20 16:12
如果有白名单,病毒有没有可能替换掉白名单里的软件躲过查杀。

有签名的,签名无法被伪造也无法否认。估计其他杀软看到微软签名就放行了。
回复

使用道具 举报

头像被屏蔽
发表于 2024-2-20 16:17 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2024-2-20 16:41 | 显示全部楼层
hein 发表于 2024-2-20 15:35
各大杀软默默的允许了explorer的行为XD

官洲放火你敢吭声?
看到下场了吗?
回复

使用道具 举报

     
发表于 2024-2-20 16:49 来自手机 | 显示全部楼层
hein 发表于 2024-2-20 16:04
看到那个视频下面有个回复说政府单位都要求安装360,虽然我不懂,但是还是用围观群众心态,兴奋的点了赞X ...

政府单位倒也没指定360,就是单位里的电脑都要求装杀毒软件。

—— 来自 OPPO PGFM10, Android 14上的 S1Next-鹅版 v2.5.2
回复

使用道具 举报

     
发表于 2024-2-20 17:15 | 显示全部楼层
要求必须安装奇安信
回复

使用道具 举报

     
发表于 2024-2-20 18:04 来自手机 | 显示全部楼层
微软又搞小动作?

—— 来自 Xiaomi 22041211AC, Android 12上的 S1Next-鹅版 v2.5.4
回复

使用道具 举报

头像被屏蔽
     
发表于 2024-2-20 18:16 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2024-2-20 18:21 | 显示全部楼层
那么卡巴斯基呢
回复

使用道具 举报

发表于 2024-2-20 18:42 来自手机 | 显示全部楼层
偷群友的分析

逆向看了逻辑了:
如果设备不在欧盟地区,且设备没有加入域控,且地区是中国,则枚举系统进程;
如果存在进程名为 360 四个典型进程名之一的进程,则无条件禁用自己的通知栏 feed 功能,无论用户是否设置开启。

背景知识:
360 会在通知栏使用非标准 api 自绘一堆设备电量之类的小控件

我的看法:
估计是 360 自绘的破玩意和 explorer 的 feed 绘制冲突了,微软这是在特地兼容 360

— from meizu MEIZU 20 Pro, Android 13 of S1 Next Goose v2.5.2-play
回复

使用道具 举报

     
发表于 2024-2-20 18:54 | 显示全部楼层
aritionkb 发表于 2024-2-20 18:42
偷群友的分析

逆向看了逻辑了:

有道理,Explorer 还有任务栏的功能,Win11 是新写的任务栏所以只有 Win10 的存在问题
回复

使用道具 举报

     
发表于 2024-2-20 18:59 | 显示全部楼层
视频已被 Up 主删除
回复

使用道具 举报

发表于 2024-2-20 19:10 来自手机 | 显示全部楼层
这也过于dirty hack了,是实习生搞的么…
回复

使用道具 举报

头像被屏蔽
     
发表于 2024-2-20 20:57 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2024-2-20 21:16 来自手机 | 显示全部楼层
aritionkb 发表于 2024-2-20 18:42
偷群友的分析

逆向看了逻辑了:

如果是这样,结合16楼的视频内容摘要,那就太喜剧了
回复

使用道具 举报

     
发表于 2024-2-20 21:51 | 显示全部楼层
草,ShellFeedsDMAHelpers::IsDeviceInDmaRegion这个是Designated Market Area吗,是欧盟地区?我之前看的时候还在想为啥要判断DMA设备
主要逻辑就在ShellFeedsCampaignHelper::CheckCampaignAvailability这里面,主要是检查活动是否可用?不了解Feeds组件是干啥的,反正一顿IsFeedsAvailable、IsDeviceInDmaRegion、IsInCampaignEnabledRegion、IsEnterpriseDevice,判断了一堆Feeds可用性、地区,然后特地拉出来一个IsHijackingProcessRunning判断360的进程,硬编码写里面还是太搞了
回复

使用道具 举报

     
发表于 2024-2-20 22:22 来自手机 | 显示全部楼层
这个视频的边亮就是360的工程师,套个民族大义的帽子忽悠人呢。如果微软的后门做的如此粗糙,太几把草台了
回复

使用道具 举报

     
发表于 2024-2-20 23:41 来自手机 | 显示全部楼层
狗p微软坑我熬夜修电脑


—— 来自 HUAWEI OCE-AN10, Android 12上的 S1Next-鹅版 v2.5.2-play
回复

使用道具 举报

     
发表于 2024-2-21 01:08 | 显示全部楼层
XXXEnetity 发表于 2024-2-20 15:55
楼主没表达清楚,视屏中说的是新版win10的explorer.exe的行为很不对,例如时间戳是错误(2085年) ...
One of the fields in the Portable Executable (PE) header is called TimeDateStamp. It’s a 32-bit value representing the time the file was created, in the form of seconds since January 1, 1970 UTC. But starting in Windows 10, those timestamps are all nonsense. If you look at the timestamps of various files, you’ll see that they appear to be random numbers, completely unrelated to any timestamp. What’s going on?

One of the changes to the Windows engineering system begun in Windows 10 is the move toward reproducible builds. This means that if you start with the exact same source code, then you should finish with the exact same binary code.


时间戳那个明显尬黑了,可重复构建这个事儿软子和各个包管理器的人都在推,不是很新鲜的事儿了
https://devblogs.microsoft.com/oldnewthing/20180103-00/?p=97705
回复

使用道具 举报

     
发表于 2024-2-21 07:50 | 显示全部楼层
看来是贼喊捉贼。

—— 来自 S1Fun
回复

使用道具 举报

     
发表于 2024-2-21 08:05 来自手机 | 显示全部楼层
绯田美琴 发表于 2024-2-20 21:51
草,ShellFeedsDMAHelpers::IsDeviceInDmaRegion这个是Designated Market Area吗,是欧盟地区?我之前看的 ...

DMA是 Digital Markets Act,就是前两天那个迫使苹果开放iPhone应用市场的欧盟法律
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2024-11-13 09:27 , Processed in 0.162248 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表