反转了？360 在系统组件拉屎，微软给其擦屁股，最后火绒背锅

分享一下有关近期火绒安全误杀 Windows 资源管理器 explorer.exe 导致用户电脑黑屏的事件。

事件发生后，B 站 UP 主 epcdiy 和 UP 主边亮_网络安全（此人为 360 安全公司 APT 分析部负责人）联合发布了一条名为《独家解密火绒误杀win10系统文件背后的真相》的视频。

在视频中，UP 主通过逆向分析得出结果：微软新版的资源管理器进程 explorer.exe 主程序代码中涵盖了大量和 360 安全卫士相关的进程名，专门对 360 安全卫士的进程进行枚举，

而且这个操作仅针对中国地区用户，只要判断你在中国区，软件就会通过日志的方式记录下 360 安全卫士的运行情况。

这种行为，非常类似于 AVKiller 家族的木马程序（火绒安全在报毒提示中也指明了该行为属于 AvKiller 木马病毒）。

而之所以同为杀毒软件的 360 安全卫士没有做出报告，根据 UP 主所说，360 安全团队已经提前发现了微软该补丁包的问题，并提前做了应急预案，从而避免了“误杀”。
到了 2 月 20 日下午，该视频被 UP 主删除。
2 月 20 日晚间，该 UP 主发动态称：由于遭受不可抗力，视频没了；相关部门已经重视这个事情，让子弹飞。

同时在评论区中，他还回应了网友的质疑。

同一天，知乎部分用户也对这个事件做了分析，得出了更详细的调查结果。

相比较于 UP 主 epcdiy 找到了火绒报毒微软资源管理器是因为“微软资源管理器内置了通过日志记录 360 安全卫士运行的代码”，
知乎网友的分析则更详细的解释了「为什么微软资源管理器要通过日志记录 360 安全卫士运行情况」

（监控 360 卫士运行的函数原理解析）（最终结论如下图）

从知乎网友的分析来看，微软资源管理器记录 360 安全卫士运行情况的目的在于“为了避免 360 安全卫士强行在资源管理器 explorer.exe 注入自己的功能/代码进而概率导致进程冲突、崩溃、样式显示异常错位的问题”。
如果发现 360 安全卫士在运行，微软就会为其专门打一个兼容性补丁：立刻停用微软资源管理器自带的兴趣资源推荐功能，主动给 360 安全卫士腾出位置避免出现兼容性问题。（微软它真的，我哭死。）

用网友的话来说，现在的情况就变成了：360在系统组件里拉屎，微软给他擦屁股，火绒背了最大的锅。如果加上前面提到的那条视频，情况就变成了：微软帮流氓 360 擦屁股，火绒躺枪，然后和 360 有利益相关的 up 出视频把节奏带到微软头上。

当然了，上述网友的分析均没有得到官方证实或者回应，各位读者理性吃瓜。只能说，三个都不是什么善茬，都有相应的责任。