有个up找边亮科普了下前几天火绒误杀explorer.exe的原因

Sza

标题是《独家解密火绒误杀win10系统文件背后的真相》，边亮是360公司网络安全专家
https://www.bilibili.com/video/BV1TA4m137zw/

首先火绒没把系统文件放白名单。其次微软近期的KB5034203、KB5034763等补丁会使资源管理器对中国地区的360安全卫士进行进程枚举，打点记录ETW日志。火绒把它当成反病毒木马处理了。

编辑：我上面的表述容易产生误解，16楼坛友的总结更加准确。

再次编辑：原视频已删，b站可能有人补档了。看楼里坛友的分析，以及知乎上的一些回答，微软这个操作可能是为了兼容360在任务栏的搜索窗口。

zmw_831110

前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊

是正好错开了么?

你知道我的

zmw_831110 发表于 2024-2-20 13:23
前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊

你没安 360 吧，楼主说是系统文件扫描 360 的文件被当病毒了

zmw_831110

你知道我的 发表于 2024-2-20 13:29
你没安 360 吧，楼主说是系统文件扫描 360 的文件被当病毒了

那的确是的

Sza

zmw_831110 发表于 2024-2-20 13:23
前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊

不清楚，我也是装了火绒的win10 22h2，没遇到问题。之前我唯一一次火绒出问题还是和卡巴斯基同时安装导致的开机蓝屏，后来重装系统了。
总之按火绒在微博发的https://card.weibo.com/article/m/show/id/2309405002810675822934上的办法先更新下火绒再说。

sirlion

win内置了啥后门大家都门清,没有什么白莲花,这只是影响人正常使用了才爆出来,察觉不到的鬼知道有多少

你知道我的

zmw_831110 发表于 2024-2-20 13:33
那的确是的

看了视频，和 360 没关系，单纯是微软的问题

小妻水亚美

之前黑球群还有人发这个视频的预告，标题写的很弱智，但是这个up主水平很高，现在看确实是微软的小动作。

—— 来自 OPPO PGFM10, Android 14上的 S1Next-鹅版 v2.5.2

Midnight.Coup

为什么是旧版 Explorer 出事，难道就是旧版交给国内搞微软电脑管家的团队来维护了？

Nanachi

这人偷偷改了标题吧

瓦格雷

一个安全软件 把系统软件级别放的比流氓软件低??

hein

各大杀软默默的允许了explorer的行为XD

Midnight.Coup

hein 发表于 2024-2-20 15:35
各大杀软默默的允许了explorer的行为XD

毕竟这个 Explorer 没有被注入官方耍流氓无解了

騜

win10 ltsc版本16号自动更新 就被火绒杀了，然后用了系统还原后禁用系统更新，火绒还是留他一命没卸载

XXXEnetity

瓦格雷 发表于 2024-2-20 15:17
一个安全软件 把系统软件级别放的比流氓软件低??

楼主没表达清楚，视屏中说的是新版win10的explorer.exe的行为很不对，例如时间戳是错误（2085年），针对中国用户对360软件进行进程枚举等等，这些行为很像Avkiller木马，火绒就把explorer进城当木马杀了。
说白了就是微软官方耍流氓被无感情的杀毒软件抓包，其他软件可能都习以为常早就把win系统文件设白名单了，但是火绒没设，所以出问题了。

好大一只绅士

那win版本控制在哪个版本比较好啊

hein

XXXEnetity 发表于 2024-2-20 15:55
楼主没表达清楚，视屏中说的是新版win10的explorer.exe的行为很不对，例如时间戳是错误（2085年） ...

看到那个视频下面有个回复说政府单位都要求安装360，虽然我不懂，但是还是用围观群众心态，兴奋的点了赞XD

临界点

hein 发表于 2024-2-20 16:04
看到那个视频下面有个回复说政府单位都要求安装360，虽然我不懂，但是还是用围观群众心态，兴奋的点了赞X ...

政府在网络安全这块确实一直跟360合作的  之前好多起美国的网络攻击也是被它抓到了证据了 技术肯定没问题 就是民用软件这块太流氓

—— 来自 meizu 16s, Android 9上的 S1Next-鹅版 v2.5.4

wuuuuuud

如果有白名单，病毒有没有可能替换掉白名单里的软件躲过查杀。

twy_2000

wuuuuuud 发表于 2024-2-20 16:12
如果有白名单，病毒有没有可能替换掉白名单里的软件躲过查杀。

有签名的，签名无法被伪造也无法否认。估计其他杀软看到微软签名就放行了。

zerocount

hein 发表于 2024-2-20 15:35
各大杀软默默的允许了explorer的行为XD

官洲放火你敢吭声？
看到下场了吗？

小妻水亚美

hein 发表于 2024-2-20 16:04
看到那个视频下面有个回复说政府单位都要求安装360，虽然我不懂，但是还是用围观群众心态，兴奋的点了赞X ...

政府单位倒也没指定360，就是单位里的电脑都要求装杀毒软件。

—— 来自 OPPO PGFM10, Android 14上的 S1Next-鹅版 v2.5.2

zy450

要求必须安装奇安信

UNICORN00

微软又搞小动作？

—— 来自 Xiaomi 22041211AC, Android 12上的 S1Next-鹅版 v2.5.4

noarch

那么卡巴斯基呢

aritionkb

偷群友的分析

逆向看了逻辑了：
如果设备不在欧盟地区，且设备没有加入域控，且地区是中国，则枚举系统进程；
如果存在进程名为 360 四个典型进程名之一的进程，则无条件禁用自己的通知栏 feed 功能，无论用户是否设置开启。

背景知识：
360 会在通知栏使用非标准 api 自绘一堆设备电量之类的小控件

我的看法：
估计是 360 自绘的破玩意和 explorer 的 feed 绘制冲突了，微软这是在特地兼容 360

— from meizu MEIZU 20 Pro, Android 13 of S1 Next Goose v2.5.2-play

Midnight.Coup

aritionkb 发表于 2024-2-20 18:42
偷群友的分析

逆向看了逻辑了：

有道理，Explorer 还有任务栏的功能，Win11 是新写的任务栏所以只有 Win10 的存在问题

Midnight.Coup

视频已被 Up 主删除

posthoc

这也过于dirty hack了，是实习生搞的么…

dvd6

aritionkb 发表于 2024-2-20 18:42
偷群友的分析

逆向看了逻辑了：

如果是这样，结合16楼的视频内容摘要，那就太喜剧了

绯田美琴

草，ShellFeedsDMAHelpers::IsDeviceInDmaRegion这个是Designated Market Area吗，是欧盟地区？我之前看的时候还在想为啥要判断DMA设备
主要逻辑就在ShellFeedsCampaignHelper::CheckCampaignAvailability这里面，主要是检查活动是否可用？不了解Feeds组件是干啥的，反正一顿IsFeedsAvailable、IsDeviceInDmaRegion、IsInCampaignEnabledRegion、IsEnterpriseDevice，判断了一堆Feeds可用性、地区，然后特地拉出来一个IsHijackingProcessRunning判断360的进程，硬编码写里面还是太搞了

chronicle

这个视频的边亮就是360的工程师，套个民族大义的帽子忽悠人呢。如果微软的后门做的如此粗糙，太几把草台了

seasonsfx

狗p微软坑我熬夜修电脑


—— 来自 HUAWEI OCE-AN10, Android 12上的 S1Next-鹅版 v2.5.2-play

Gazzz

XXXEnetity 发表于 2024-2-20 15:55
楼主没表达清楚，视屏中说的是新版win10的explorer.exe的行为很不对，例如时间戳是错误（2085年） ...

One of the fields in the Portable Executable (PE) header is called TimeDateStamp. It’s a 32-bit value representing the time the file was created, in the form of seconds since January 1, 1970 UTC. But starting in Windows 10, those timestamps are all nonsense. If you look at the timestamps of various files, you’ll see that they appear to be random numbers, completely unrelated to any timestamp. What’s going on?

One of the changes to the Windows engineering system begun in Windows 10 is the move toward reproducible builds. This means that if you start with the exact same source code, then you should finish with the exact same binary code.

时间戳那个明显尬黑了，可重复构建这个事儿软子和各个包管理器的人都在推，不是很新鲜的事儿了
https://devblogs.microsoft.com/oldnewthing/20180103-00/?p=97705

noahhhh

看来是贼喊捉贼。

—— 来自 S1Fun

归蝶

绯田美琴 发表于 2024-2-20 21:51
草，ShellFeedsDMAHelpers::IsDeviceInDmaRegion这个是Designated Market Area吗，是欧盟地区？我之前看的 ...

DMA是 Digital Markets Act，就是前两天那个迫使苹果开放iPhone应用市场的欧盟法律