分享一下有关近期火绒安全误杀 Windows 资源管理器 explorer.exe 导致用户电脑黑屏的事件。
事件发生后,B 站 UP 主 epcdiy 和 UP 主边亮_网络安全(此人为 360 安全公司 APT 分析部负责人)联合发布了一条名为《独家解密火绒误杀win10系统文件背后的真相》的视频。
在视频中,UP 主通过逆向分析得出结果:微软新版的资源管理器进程 explorer.exe 主程序代码中涵盖了大量和 360 安全卫士相关的进程名,专门对 360 安全卫士的进程进行枚举,
而且这个操作仅针对中国地区用户,只要判断你在中国区,软件就会通过日志的方式记录下 360 安全卫士的运行情况。
这种行为,非常类似于 AVKiller 家族的木马程序(火绒安全在报毒提示中也指明了该行为属于 AvKiller 木马病毒)。
而之所以同为杀毒软件的 360 安全卫士没有做出报告,根据 UP 主所说,360 安全团队已经提前发现了微软该补丁包的问题,并提前做了应急预案,从而避免了“误杀”。
到了 2 月 20 日下午,该视频被 UP 主删除。
2 月 20 日晚间,该 UP 主发动态称:由于遭受不可抗力,视频没了;相关部门已经重视这个事情,让子弹飞。
同时在评论区中,他还回应了网友的质疑。
同一天,知乎部分用户也对这个事件做了分析,得出了更详细的调查结果。
相比较于 UP 主 epcdiy 找到了火绒报毒微软资源管理器是因为“微软资源管理器内置了通过日志记录 360 安全卫士运行的代码”,
知乎网友的分析则更详细的解释了「为什么微软资源管理器要通过日志记录 360 安全卫士运行情况」
(监控 360 卫士运行的函数原理解析)(最终结论如下图)
从知乎网友的分析来看,微软资源管理器记录 360 安全卫士运行情况的目的在于“为了避免 360 安全卫士强行在资源管理器 explorer.exe 注入自己的功能/代码进而概率导致进程冲突、崩溃、样式显示异常错位的问题”。
如果发现 360 安全卫士在运行,微软就会为其专门打一个兼容性补丁:立刻停用微软资源管理器自带的兴趣资源推荐功能,主动给 360 安全卫士腾出位置避免出现兼容性问题。(微软它真的,我哭死。)
用网友的话来说,现在的情况就变成了:360在系统组件里拉屎,微软给他擦屁股,火绒背了最大的锅。如果加上前面提到的那条视频,情况就变成了:微软帮流氓 360 擦屁股,火绒躺枪,然后和 360 有利益相关的 up 出视频把节奏带到微软头上。
当然了,上述网友的分析均没有得到官方证实或者回应,各位读者理性吃瓜。只能说,三个都不是什么善茬,都有相应的责任。
原创文章,作者:AIRF,如若转载,请注明出处:http://www.ai-rf.com/index.php/2024/02/22/%e5%8f%8d%e8%bd%ac%e4%ba%86%ef%bc%9f360-%e5%9c%a8%e7%b3%bb%e7%bb%9f%e7%bb%84%e4%bb%b6%e6%8b%89%e5%b1%8e%ef%bc%8c%e5%be%ae%e8%bd%af%e7%bb%99%e5%85%b6%e6%93%a6%e5%b1%81%e8%82%a1%ef%bc%8c%e6%9c%80/
