有个up找边亮科普了下前几天火绒误杀explorer.exe的原因

zxdrtyhn

-LLAP- :强烈建议再更新一期澄清视频，哪怕就是把现有的事实列出来也好。全程看下来这个事挺荒诞的，始作俑者倒打一耙让微软背锅真不太好。epcdiy 回复 @-LLAP- : 有这个考虑，感觉我被坑了
5小时前

还是有自知之明

mz789p

360注入的锅

论坛助手,iPhone

dvd6

zxdrtyhn 发表于 2024-2-21 17:01
还是有自知之明

有自知之明的人会不知道360什么尿性吗

＝＝＝＝＝＝＝

看epcdiy动态评论越来越欢乐了

七草真由美

怎么还有害人重装系统的，看来影响挺大的。这玩意是不是不装360就不会触发？

—— 来自 HONOR PGT-AN00, Android 14上的 S1Next-鹅版 v2.5.4

萱时令

哈哈
微软给软件擦屁股：木马流氓
微软不给软件擦屁股：瞎更新，一更新xxx就用不了

lawsherman

七草真由美 发表于 2024-2-21 17:39
怎么还有害人重装系统的，看来影响挺大的。这玩意是不是不装360就不会触发？

—— 来自 HONOR PGT-AN00, A ...

搞出黑屏的是火绒


火绒杀explorer进程的原因是explorer有疑似病毒行为
有病毒行为的原因是要兼容360
————————
不更新windows补丁，或者没装火绒的没事

hein

dvd6 发表于 2024-2-21 17:19
有自知之明的人会不知道360什么尿性吗

＝＝＝＝＝＝＝

看懂了，耍流氓耍不过360，只能认怂

我记得我还发过贴骂微软这**搜索条。
https://bbs.saraba1st.com/2b/thread-2160337-1-1.html

我觉得这个锅给微软背没毛病

bubuyu

最开始那个人是360的，这算是贼喊捉贼先发制人吗

calmer

epcdiy感觉是玩文曲星时代的老年人

—— 来自 Xiaomi 22041211AC, Android 13上的 S1Next-鹅版 v2.5.2-play

谭浩强

想知道怎么让这个IsDeviceInDmaRegion认为系统属于欧盟Digital Markets Act Region？改语言改ip还是下欧盟版windows？

fireandstar

忘归然 发表于 2024-2-21 13:15
这也能怪微软？系统崩了用户只会喷微软，指望一个流氓公司管控自己的流氓行为？看看微信满地拉屎，一众手 ...

删explore最开始几天骂火绒的可不少，直到那个视频发出来风向才转向骂微软吧

beckuse

颠倒黑白，贼喊捉贼，攻击炒作，确实是360会干的事

—— 来自 Xiaomi 2210132C, Android 13上的 S1Next-鹅版 v2.5.4

nekomimimode

地头蛇是这样的

yaoyiqun513

微软深谙强龙不压地头蛇的道理呀

baicon

忘归然 发表于 2024-2-22 10:15
这楼里前面骂微软的可不少，怎么看都奇怪。还有阴阳微软搞后门的。

—— 来自 S1Fun ...

不是挺好的，对不讲事实急着露屁股的，正好丰富黑名单。

Sza

谭浩强 发表于 2024-2-21 19:37
想知道怎么让这个IsDeviceInDmaRegion认为系统属于欧盟Digital Markets Act Region？改语言改ip还是下欧盟 ...

我不懂代码。为了回你这个问题特地按知乎Henryzhao的回答https://www.zhihu.com/question/642107690/answer/3402581666 提供的工具看了下explorer.exe的代码。简而言之，我按函数名猜可能是看“设置-时间和语言-区域-国家或地区“”的。

我贴下反编译后的代码：
下面这段是ShellFeedsDMAHelpers::IsDeviceInDmaRegion(uchar *)的

1. __int64 __fastcall ShellFeedsDMAHelpers::IsDeviceInDmaRegion(
   
2.         ShellFeedsDMAHelpers *this,
   
3.         unsigned __int8 *a2,
   
4.         unsigned int *a3)
   
5. {
   
6.   unsigned __int8 *v4; // rdx
   
7.   int ShellFeedsRegKey; // ebx
   
8.   unsigned int v6; // r8d
   
9.   unsigned int v7; // r9d
   
10.   int v9; // [rsp+20h] [rbp-8h]
    
11.   wil::details::in1diag3 *retaddr; // [rsp+28h] [rbp+0h]
    
12.   unsigned __int8 v11; // [rsp+38h] [rbp+10h] BYREF
    
13.   int Data; // [rsp+40h] [rbp+18h] BYREF
    
14. 
    
15.   Data = 0;
    
16.   ShellFeedsRegKey = ShellFeedsRegistryHelper::GetShellFeedsRegKey(L"IsDeviceInDmaRegion", (LPBYTE)&Data, a3);
    
17.   if ( ShellFeedsRegKey == -2147024894 )
    
18.   {
    
19.     v11 = 0;
    
20.     ShellFeedsRegKey = ShellFeedsDMAHelpers::GetDeviceDMAStatusInternal((ShellFeedsDMAHelpers *)&v11, v4);
    
21.     if ( ShellFeedsRegKey < 0 )
    
22.     {
    
23. LABEL_5:
    
24.       wil::details::in1diag3::Return_Hr(
    
25.         retaddr,
    
26.         (void *)0x3E,
    
27.         (unsigned int)"internal\\shellcommonshell\\inc\\ShellFeeds\\ShellFeedsDMAHelpers.h",
    
28.         (const char *)(unsigned int)ShellFeedsRegKey,
    
29.         v9);
    
30.       return (unsigned int)ShellFeedsRegKey;
    
31.     }
    
32.     Data = v11;
    
33.     ShellFeedsRegistryHelper::SetShellFeedsRegKey(L"IsDeviceInDmaRegion", (const unsigned __int16 *)v11, v6, v7);
    
34.   }
    
35.   if ( ShellFeedsRegKey < 0 )
    
36.     goto LABEL_5;
    
37.   *(_BYTE *)this = Data;
    
38.   return 0LL;
    
39. }

复制代码

下面这段是ShellFeedsDMAHelpers::GetDeviceDMAStatusInternal(uchar *)的

1. __int64 __fastcall ShellFeedsDMAHelpers::GetDeviceDMAStatusInternal(ShellFeedsDMAHelpers *this, unsigned __int8 *a2)
   
2. {
   
3.   unsigned int v3; // ebx
   
4.   __int64 v4; // rcx
   
5.   int v5; // eax
   
6.   int *v7; // [rsp+20h] [rbp-20h] BYREF
   
7.   int v8[4]; // [rsp+28h] [rbp-18h] BYREF
   
8. 
   
9.   v3 = 0;
   
10.   if ( (unsigned __int8)wil::details::FeatureImpl<__WilFeatureTraits_Feature_IntegratedServicesPolicyControl>::__private_IsEnabled(
    
11.                           &`wil::Feature<__WilFeatureTraits_Feature_IntegratedServicesPolicyControl>::GetImpl'::`2'::impl,
    
12.                           a2) )
    
13.   {
    
14.     v8[0] = 996156123;
    
15.     v7 = v8;
    
16.     v8[1] = 1263197949;
    
17.     v8[2] = 73453494;
    
18.     v8[3] = 1014982109;
    
19.     v5 = winrt::impl::factory_cache_entry<winrt::Windows::Internal::System::Profile::RegionPolicyEvaluator,winrt::Windows::Internal::System::Profile::IRegionPolicyEvaluatorStatics>::call<_lambda_6a0f056e3d320019bdc01414d2a02aac_ &>(
    
20.            v4,
    
21.            &v7);
    
22.     if ( v5 < 0 )
    
23.       return (unsigned int)-2147418113;
    
24.     if ( v5 <= 1 )
    
25.     {
    
26.       *(_BYTE *)this = 0;
    
27.       return v3;
    
28.     }
    
29.     if ( v5 != 2 )
    
30.       return (unsigned int)-2147418113;
    
31.     *(_BYTE *)this = 1;
    
32.   }
    
33.   return v3;
    
34. }

复制代码

hagane

有结论了吗
我是停了update+只装火绒+弹窗
360几百年没装了
没遇到过这个explore重载问题

souseiseki

baicon 发表于 2024-2-22 11:23
不是挺好的，对不讲事实急着露屁股的，正好丰富黑名单。

才发现第一页好几个早就在黑名单了

sbzhang

今天win10更新后触发了这个bug，还好刷到这个帖子了不然……

贝恩德塔

之前火绒疯狂杀我的弹弹play的exe文件，迫不得已把火绒防护直接关了

今天你提了吗

自从去年某高校间碟事件后，数字厂就大有洗白之势，营销宣传上都是把自己往 国 家 队 上靠，劝人不要装流氓全家桶，总有人跳出来说杀毒能力最强，有极速版云云，现在看果然狗改不了吃屎，整个厂都是一股low味

mhss

win10开了更新+装了火绒， 这次没出问题
但是上一次火绒的主动防御导致游戏卡顿的问题被我撞上了

七草真由美

就算360有99%的锅，难道微软就没有1%的锅？为什么要迁就360而故意写了个像病毒的程序。

—— 来自 HONOR PGT-AN00, Android 14上的 S1Next-鹅版 v2.5.4

dvd6

其实什么人有需求同时装火绒和360，信得过360咋不把防护都交给360全家桶？

netplaying

作为一名qihoo系列软件粉丝看这个帖子很欢乐~~

再买自检星剁手

现在win设置英文日常用，国产和一些日常软件会出问题吗？能否日常使用？

排查bug和快速敲系统设置项还是英文方便，从mac用过来的习惯

patema

https://www.bilibili.com/video/B ... 27471b6c4ab7d348762EPC发道歉视频了

gnihton314

dvd6 发表于 2024-2-22 14:21
其实什么人有需求同时装火绒和360，信得过360咋不把防护都交给360全家桶？

触发火绒误杀explorer不需要安装360。是微软在explorer里写了检查360运行情况的代码，被火绒杀了

绯田美琴

我来给360洗白一下，我认识的360漏洞研究院的研究员还挺强的，专挖浏览器和虚拟化0day发Black Hat的
这人搜了一下是做APT研究的，也不知道是做什么水平的，但是有一点可以说一下，楼主不懂代码的都知道IDA会自动下载加载微软的pdb文件，360这个做逆向的能不知道加载pdb吗？打开都会自动问的，那肯定就是故意不让人看到符号名的
鉴于上上次蹭瓜大和上次蹭输入法流量蹭爽了，评价为24年安全乙方市场不好想赚外快想疯了

chronicle

patema 发表于 2024-2-22 15:40
https://www.bilibili.com/video/B ... 27471b6c4ab7d348762EPC发道歉视频了

流量两头赚，互联网的版本答案

chronicle

patema 发表于 2024-2-22 15:40
https://www.bilibili.com/video/B ... 27471b6c4ab7d348762EPC发道歉视频了

流量两头赚，互联网的版本答案

zxdrtyhn

最后掏2w抽奖，下血本啊

dvd6

gnihton314 发表于 2024-2-22 16:20
触发火绒误杀explorer不需要安装360。是微软在explorer里写了检查360运行情况的代码，被火绒杀了 ...

原来是这样，我理解错了，以为微软检测到360才触发

netplaying

绯田美琴 发表于 2024-2-22 16:35
我来给360洗白一下，我认识的360漏洞研究院的研究员还挺强的，专挖浏览器和虚拟化0day发Black Hat的
这人搜 ...

360在漏洞侦测方面一直很强，IBM的攻击模拟团队也用的360 labs的0day雷达测试他们自己产品的安全性。

noahhhh

再买自检星剁手 发表于 2024-2-22 15:07
现在win设置英文日常用，国产和一些日常软件会出问题吗？能否日常使用？

排查bug和快速敲系统设置项还是英 ...

Windows中文可以同时搜中英文设置，但是英文只能搜英文

—— 来自 S1Fun

fireandstar

忘归然 发表于 2024-2-22 10:15
这楼里前面骂微软的可不少，怎么看都奇怪。还有阴阳微软搞后门的。

—— 来自 S1Fun ...

这楼发布的时候那个视频已经出来了啊，正是风向转变后

jesuswjx

笑死了 感觉很符合我对360的刻板印象

zerocount

patema 发表于 2024-2-22 15:40
https://www.bilibili.com/video/B ... 27471b6c4ab7d348762EPC发道歉视频了

原来微软真的有长期给第三方软件擦屁股的传统啊