反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅

分享一下有关近期火绒安全误杀 Windows 资源管理器 explorer.exe 导致用户电脑黑屏的事件。

反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图

事件发生后,B 站 UP 主 epcdiy 和 UP 主边亮_网络安全(此人为 360 安全公司 APT 分析部负责人)联合发布了一条名为《独家解密火绒误杀win10系统文件背后的真相》的视频。

反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图1

在视频中,UP 主通过逆向分析得出结果:微软新版的资源管理器进程 explorer.exe 主程序代码中涵盖了大量和 360 安全卫士相关的进程名,专门对 360 安全卫士的进程进行枚举,

反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图2
反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图3

而且这个操作仅针对中国地区用户,只要判断你在中国区,软件就会通过日志的方式记录下 360 安全卫士的运行情况。

反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图4

这种行为,非常类似于 AVKiller 家族的木马程序(火绒安全在报毒提示中也指明了该行为属于 AvKiller 木马病毒)。

反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图5

而之所以同为杀毒软件的 360 安全卫士没有做出报告,根据 UP 主所说,360 安全团队已经提前发现了微软该补丁包的问题,并提前做了应急预案,从而避免了“误杀”。
到了 2 月 20 日下午,该视频被 UP 主删除。
2 月 20 日晚间,该 UP 主发动态称:由于遭受不可抗力,视频没了;相关部门已经重视这个事情,让子弹飞。

反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图6

同时在评论区中,他还回应了网友的质疑。

反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图7

同一天,知乎部分用户也对这个事件做了分析,得出了更详细的调查结果。

相比较于 UP 主 epcdiy 找到了火绒报毒微软资源管理器是因为“微软资源管理器内置了通过日志记录 360 安全卫士运行的代码”,
知乎网友的分析则更详细的解释了「为什么微软资源管理器要通过日志记录 360 安全卫士运行情况」

反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图8

(监控 360 卫士运行的函数原理解析)(最终结论如下图)

反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图9
反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图10
反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图11

从知乎网友的分析来看,微软资源管理器记录 360 安全卫士运行情况的目的在于“为了避免 360 安全卫士强行在资源管理器 explorer.exe 注入自己的功能/代码进而概率导致进程冲突、崩溃、样式显示异常错位的问题”。
如果发现 360 安全卫士在运行,微软就会为其专门打一个兼容性补丁:立刻停用微软资源管理器自带的兴趣资源推荐功能,主动给 360 安全卫士腾出位置避免出现兼容性问题。(微软它真的,我哭死。)

用网友的话来说,现在的情况就变成了:360在系统组件里拉屎,微软给他擦屁股,火绒背了最大的锅。如果加上前面提到的那条视频,情况就变成了:微软帮流氓 360 擦屁股,火绒躺枪,然后和 360 有利益相关的 up 出视频把节奏带到微软头上。

反转了?360 在系统组件拉屎,微软给其擦屁股,最后火绒背锅插图12

当然了,上述网友的分析均没有得到官方证实或者回应,各位读者理性吃瓜。只能说,三个都不是什么善茬,都有相应的责任。

阅读剩余
THE END
诺言博客