反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅
分享一下有关近期火绒安全误杀 Windows 资源管理器 explorer.exe 导致用户电脑黑屏的事件。
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021450170350.jpg)
事件发生后,B 站 UP 主 epcdiy 和 UP 主边亮_网络安全(此人为 360 安全公司 APT 分析部负责人)联合发布了一条名为《独家解密火绒误杀win10系统文件背后的真相》的视频。
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图1 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图1](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021508482171.jpg)
在视频中,UP 主通过逆向分析得出结果:微软新版的资源管理器进程 explorer.exe 主程序代码中涵盖了大量和 360 安全卫士相关的进程名,专门对 360 安全卫士的进程进行枚举,
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图2 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图2](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021515862072.jpg)
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图3 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图3](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021522155349.png)
而且这个操作仅针对中国地区用户,只要判断你在中国区,软件就会通过日志的方式记录下 360 安全卫士的运行情况。
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图4 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图4](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021529618287.jpg)
这种行为,非常类似于 AVKiller 家族的木马程序(火绒安全在报毒提示中也指明了该行为属于 AvKiller 木马病毒)。
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图5 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图5](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021540127289.png)
而之所以同为杀毒软件的 360 安全卫士没有做出报告,根据 UP 主所说,360 安全团队已经提前发现了微软该补丁包的问题,并提前做了应急预案,从而避免了“误杀”。
到了 2 月 20 日下午,该视频被 UP 主删除。
2 月 20 日晚间,该 UP 主发动态称:由于遭受不可抗力,视频没了;相关部门已经重视这个事情,让子弹飞。
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图6 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图6](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021553447160.png)
同时在评论区中,他还回应了网友的质疑。
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图7 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图7](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021600868398.jpg)
同一天,知乎部分用户也对这个事件做了分析,得出了更详细的调查结果。
相比较于 UP 主 epcdiy 找到了火绒报毒微软资源管理器是因为“微软资源管理器内置了通过日志记录 360 安全卫士运行的代码”,
知乎网友的分析则更详细的解释了「为什么微软资源管理器要通过日志记录 360 安全卫士运行情况」
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图8 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图8](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021634620965.jpg)
(监控 360 卫士运行的函数原理解析)(最终结论如下图)
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图9 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图9](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021658247644.png)
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图10 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图10](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021702272689.jpg)
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图11 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图11](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021726171840.jpg)
从知乎网友的分析来看,微软资源管理器记录 360 安全卫士运行情况的目的在于“为了避免 360 安全卫士强行在资源管理器 explorer.exe 注入自己的功能/代码进而概率导致进程冲突、崩溃、样式显示异常错位的问题”。
如果发现 360 安全卫士在运行,微软就会为其专门打一个兼容性补丁:立刻停用微软资源管理器自带的兴趣资源推荐功能,主动给 360 安全卫士腾出位置避免出现兼容性问题。(微软它真的,我哭死。)
用网友的话来说,现在的情况就变成了:360在系统组件里拉屎,微软给他擦屁股,火绒背了最大的锅。如果加上前面提到的那条视频,情况就变成了:微软帮流氓 360 擦屁股,火绒躺枪,然后和 360 有利益相关的 up 出视频把节奏带到微软头上。
![反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图12 反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图12](https://www.nuoyo.cn/wp-content/uploads/2024/02/20240222021745442496.jpg)
当然了,上述网友的分析均没有得到官方证实或者回应,各位读者理性吃瓜。只能说,三个都不是什么善茬,都有相应的责任。