V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zaizaizai2333
V2EX  ›  分享发现

独家解密火绒误杀 win10 系统文件(explorer.exe)背后的真相 [安全专家 边亮 的频道视频]

  •  3
     
  •   zaizaizai2333 · 2024-02-20 13:43:14 +08:00 · 11325 次点击
    这是一个创建于 366 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://www.bilibili.com/video/BV1TA4m137zw

    简言之(个人理解,未必完整):

    微软 explorer.exe 新加入了监控 region 设置为中国的电脑的 360 进程,而且 explorer.exe 的时间戳设置成了 2085 年,导致火绒误认为被植入了木马。

    第 1 条附言  ·  363 天前
    新的一集:
    对话微软程序员:资源管理器为什么会监视 360 https://www.bilibili.com/video/BV1ZF4m177EZ

    第六点最有意思了,讲为什么 Windows Defender 为什么会对签名过的原版 explorer.exe 压缩包报毒,报毒类型是 Trojan:Script/Wacatac.B!ml 。
    86 条回复    2024-02-22 16:50:24 +08:00
    zaizaizai2333
        1
    zaizaizai2333  
    OP
       2024-02-20 13:51:10 +08:00
    边亮提前发现了这个事情,在微软推开更新之前,360 就增加了规则避免误杀。火绒没有发现,躺枪。
    ZZ74
        2
    ZZ74  
       2024-02-20 13:52:16 +08:00
    监控 region 设置为中国。。。。
    呵呵呵呵,多少和不让用 AI 有点点关系吧
    xiaozhubin
        3
    xiaozhubin  
       2024-02-20 13:55:39 +08:00   ❤️ 1
    我好奇,微软为何独宠 360 ,把 360 加入监控?
    InDom
        4
    InDom  
       2024-02-20 13:58:35 +08:00
    微软为了监控 360 特意在更新中加了规则,360 在更新前识别规则并避免。

    好啊
    qqjt
        5
    qqjt  
       2024-02-20 14:03:02 +08:00
    微软“本地化”做得不错
    zaizaizai2333
        6
    zaizaizai2333  
    OP
       2024-02-20 14:06:47 +08:00
    谁有这个 KB5034203 的 explorer.exe ,上传上来,大家逆向看看。

    视频里面被分析的文件名是 215220ed492ed274f41129d33a2df72d_explorer.exe 估计前面就是 MD5 值。
    cuit4017
        7
    cuit4017  
       2024-02-20 14:08:04 +08:00
    好奇 360 如何规避的
    zaizaizai2333
        8
    zaizaizai2333  
    OP
       2024-02-20 14:08:08 +08:00
    @xiaozhubin
    @InDom 估计逆向看代码,仔细分析就知道为什么了。不过时间戳为什么呢?
    zaizaizai2333
        9
    zaizaizai2333  
    OP
       2024-02-20 14:10:41 +08:00
    @cuit4017 估计很简单,就添加了一个规则,把识别出来可能是 AVKiller 的 explorer.exe ,再分析一下是不是这次更新的变化,是的话,就白名单不杀毒。
    showgood163
        10
    showgood163  
       2024-02-20 14:27:34 +08:00   ❤️ 1
    为啥 explorer.exe 要检测 360 的几个进程?检测之后具体做了什么?

    视频里没回答这个问题
    minami
        11
    minami  
       2024-02-20 14:31:16 +08:00   ❤️ 26
    这个视频实际上故意话只说了一半,我稍微看了下就有疑问:1 、微软此举的目的到底是什么,视频里完全没有提及,只是一味往木马上靠,总不能监听 360 进程后啥也没干,就打个日志?; 2 、360 既然早就知道了,为什么不公开?逻辑上完全说不通,除非 360 自己非常清楚原因。反正看完这个视频,我只觉得是来带节奏的,并不是来公开真相的
    Tyrant1984
        12
    Tyrant1984  
       2024-02-20 14:39:43 +08:00
    我说我这几天为什么 explorer 怎么一直崩溃重启…还想着 Win11 是不是又该重装了…我还寻思我 Win10 用了好几年也没怎么重装过,这 Win11 怎么这么弱。
    e2k
        13
    e2k  
       2024-02-20 14:39:52 +08:00
    被火绒杀掉的 explorer.exe https://f.ws59.cn/f/dfxf9n0nted
    YGBlvcAK
        14
    YGBlvcAK  
       2024-02-20 14:41:00 +08:00   ❤️ 1
    草,这是错怪火绒了,不过好在我装完 win10 ltsc 就把自动更新给灭了,哈哈
    fs418082760
        15
    fs418082760  
       2024-02-20 14:41:35 +08:00   ❤️ 1
    @minami #11 2 种可能,1.360 作恶,做到微软恶心到受不了 放弃中立地位下场绕过 2.ZZ 原因,360 技术牛 B ,微软针对他 具体中间原因他肯定也不会知道啊。你猜?
    showgood163
        16
    showgood163  
       2024-02-20 14:43:10 +08:00   ❤️ 14
    视频评论里有这样的解释:


    ```

    闭口不谈 360 对 explorer 干了些什么是吧(
    ida 分析看了下是资源管理器主动检查 360 进程是否运行 是的话就不会启动资讯和兴趣功能 盲猜是和 360 注入 explorer 导致妙妙的不兼容有关系
    火绒报毒是因为这个检测行为很像 avkiller 就是

    ```
    showgood163
        17
    showgood163  
       2024-02-20 14:43:50 +08:00
    期待更多的人提供自己的检测结果
    NerbraskaGuy
        18
    NerbraskaGuy  
       2024-02-20 14:45:21 +08:00
    360 这些年一直在和 gov 合作,不然为啥被美国加了制裁名单,微软针对 360 多半也是 zz 原因
    FengMubai
        19
    FengMubai  
       2024-02-20 14:45:25 +08:00
    @minami 个人猜测微软的目的和这个文章相关 https://www.youxia.org/2024/02/113352.html (注意有个阻止没有写明国家, 但英文版中是有的)
    如果真得有关, 那确实不好说太细
    Qetesh
        20
    Qetesh  
       2024-02-20 14:45:42 +08:00   ❤️ 2
    火绒很勇啊,带着微软签名都要杀一遍
    minami
        21
    minami  
       2024-02-20 14:58:56 +08:00
    @fs418082760 他都逆向了怎么可能不知道
    e2k
        22
    e2k  
       2024-02-20 15:07:22 +08:00
    mercury233
        23
    mercury233  
       2024-02-20 15:07:53 +08:00
    @YGBlvcAK #14
    火绒对系统关键文件似乎没有特殊处理,而是直接隔离,很可能说明火绒对系统文件被蠕虫病毒感染的场景没有做好预案,火绒的锅还是大的
    maggch97
        24
    maggch97  
       2024-02-20 15:14:37 +08:00   ❤️ 13
    这个视频符合我对 epcdiy 以及他的粉丝的刻板认识
    supersadmin
        25
    supersadmin  
       2024-02-20 15:19:05 +08:00
    年前中枪了,恢复后系统工具栏无法使用,重装系统中...
    zaizaizai2333
        26
    zaizaizai2333  
    OP
       2024-02-20 15:27:53 +08:00
    @showgood163
    @minami
    @fs418082760 原视频说了,好像是检测到 360 后打 log 。

    @e2k 原视频提供的文件在 https://pan.baidu.com/s/1fSxqq3yvDbE2hIVOUsI7Ew?pwd=8qfj 确实有 MD5 (215220ed492ed274f41129d33a2df72d_explorer.exe) = 215220ed492ed274f41129d33a2df72d
    huBane
        27
    huBane  
       2024-02-20 15:30:34 +08:00
    中午看了视频,挺乐的,跟前面想法一样“微软为何独宠 360”希望有后续。
    ysc3839
        28
    ysc3839  
       2024-02-20 15:34:19 +08:00 via Android   ❤️ 6
    那个 PE 格式的时间戳因为要保证相同代码构建出来的二进制文件完全一致,已经改成了随机的 hash 了。这个机制的官方名称叫 reproducible builds ,视频评论区也有人提到,我个人不太相信搞安全的人不懂这种机制。
    https://devblogs.microsoft.com/oldnewthing/20180103-00/?p=97705
    kernelpanic
        29
    kernelpanic  
       2024-02-20 15:35:55 +08:00
    伪科普有毒, 少看
    zaizaizai2333
        30
    zaizaizai2333  
    OP
       2024-02-20 15:57:31 +08:00
    @ysc3839 搞错了,发现这个 up 主是 epcdiy ,不是搞安全的,应该不太懂。

    不过举的著名例子挺有意思,NSA 的攻击软件的 timestamp 是伪造的,远远早于其标注的平台 amd64 的问世时间,暴露了自己。
    ysc3839
        31
    ysc3839  
       2024-02-20 16:00:26 +08:00 via Android   ❤️ 3
    @zaizaizai2333 边亮作为共同创作视频的人,按理说有审稿责任吧。
    peachpeach
        32
    peachpeach  
       2024-02-20 16:18:24 +08:00
    我安装完 win10 第一件事, 就是干掉 windows 自动更新.
    zhzy0077
        33
    zhzy0077  
       2024-02-20 16:24:51 +08:00
    翻了下 commit ,挺乐的一件事,官方出解释之前不好讲。不过和什么偷数据间谍没啥关系。还是因为 360 对 explorer.exe 的魔改导致的。但总结起来是一个巴掌拍不响。Microsoft 在这个改动上也不是什么好东西
    ETiV
        34
    ETiV  
       2024-02-20 16:30:00 +08:00   ❤️ 15
    「操作系统应该是中立的」

    我觉得浏览器也应该是中立的…不应该主动屏蔽任何域名、网站 🤣
    zhangyangkam1
        35
    zhangyangkam1  
       2024-02-20 16:42:56 +08:00
    @minami 逆向只知道他做了什么操作,怎么知道他是什么目的?
    leena
        36
    leena  
       2024-02-20 16:46:40 +08:00 via iPhone
    @peachpeach 这个怎么实现的
    leonshaw
        37
    leonshaw  
       2024-02-20 16:48:46 +08:00
    @ETiV 手机系统给微信加白差不多都是标准操作了。。
    CatCode
        38
    CatCode  
       2024-02-20 17:24:14 +08:00
    @showgood163 其实可以反过来想想嘛
    1. 如果时间戳字段不是 reproducible build ,而就是普通时间戳,“作恶”的人为什么要填个 60 年后的时间,提前暴露自己?
    2. 为什么只检测 360 杀毒?“作恶”的人真要逃避杀软,那么金山系是吃软饭的?腾讯系是吃软饭的?预装怪物卖咖啡是吃软饭的?喔,对,还有主角火绒也是吃软饭的?
    YAOMFFL
        39
    YAOMFFL  
       2024-02-20 17:38:41 +08:00
    话说之前三星输入法的那个视频是他们不?
    Aurorataro
        40
    Aurorataro  
       2024-02-20 17:40:25 +08:00
    @ETiV 浏览器是中立的,监管部门不是中立的啊🤣
    oamzn
        41
    oamzn  
       2024-02-20 17:52:42 +08:00
    等 360 的公告
    ysc3839
        42
    ysc3839  
       2024-02-20 18:16:25 +08:00 via Android
    目前原视频已被删除,视频上传者的动态里并未说明删除情况及原因
    minami
        43
    minami  
       2024-02-20 18:59:29 +08:00 via Android   ❤️ 1
    @zhangyangkam1 你知道它干啥了那目的基本就猜出来了,比如上面有人说是什么兴趣资讯之类的,那显然大概率是规避 bug 。靠特殊处理来规避 bug 再正常不过了,windows 还给某游戏做过特殊处理呢,咋了
    phrack
        44
    phrack  
       2024-02-20 19:50:26 +08:00 via iPhone
    @ETiV 对于熟悉操作系统的人应该是中立的。

    不懂电脑还需要经常上网的,裸奔多半是要中毒的,这个时候操作系统就不能中立,自带保护才是正常的。这部分消费者是大头,所以针对消费者的系统都这样设计。
    miaomiao888
        45
    miaomiao888  
       2024-02-20 19:57:59 +08:00
    又有黑手把视频删除咯,和并夕夕一样强无人敢动。
    GeekGao
        46
    GeekGao  
       2024-02-20 20:07:15 +08:00
    火绒安全就重大失误道歉 不慎将资源管理器当病毒杀结果导致黑屏
    https://www.cnbeta.com.tw/articles/tech/1418701.htm

    这个?
    boboliu
        47
    boboliu  
       2024-02-20 20:07:59 +08:00
    他视频说的后两个点( 360 hijacking ,CN Region )看起来都是影响 ShellFeedsCampaign 开关策略的,
    具体影响的注册表是 HKCU\Software\Microsoft\Windows\CurrentVersion\Feeds ,搜一下就知道是干嘛的了。
    r03r03
        48
    r03r03  
       2024-02-20 20:16:26 +08:00
    视频内容已被 UP 主删除,视频无法观看,敬请谅解。
    kid2man
        49
    kid2man  
       2024-02-20 20:57:59 +08:00
    ![Snipaste_2024-02-20_20-56-39.jpg]( https://img.duan.ee/z/2024/02/20/65d4a1abca722.jpg)
    lyc8503
        50
    lyc8503  
       2024-02-20 21:00:25 +08:00   ❤️ 10
    逆向分析的极其粗糙,没有任何实锤的恶意行为,语焉不详输出情绪,评论区全是带节奏

    事实上很可能只是 MS 在 explorer.exe 中添加了一些兼容性处理手段,微软真想要加后门怎么可能往 explorer.exe 这么明显的地方加,问题肯定还是在火绒病毒库更新和测试不完善

    边亮也完全没有尽到联合投稿前的稿件基本审核义务
    jim9606
        51
    jim9606  
       2024-02-20 21:12:04 +08:00   ❤️ 3
    按照“检测到 360 就主动禁用 shell 推广功能”来看算是比较合理的解释。

    以微软过去十多年给各种第三方软件擦屁股的习惯来看,这样反向适配也不算什么大问题,特别还是杀毒软件这类野路子操作当饭吃的软件,随便改点啥都很容易被系统搞崩,没深度沟通渠道需要反向适配很正常。

    原 UP 不懂这些可以理解,我感觉认识 Raymond Chen 的人才能理解下微软的这种选择。
    VIVIANSNOW
        52
    VIVIANSNOW  
       2024-02-20 21:25:08 +08:00
    不提技术好坏。火绒这种小众万玩意 躺枪也无所谓。哈哈
    showgood163
        53
    showgood163  
       2024-02-20 21:32:42 +08:00
    几个小时前,我搜了下自己转的那条评论,已经没了;置顶帖里有人指出 UP 选择性报导,并且给出了逆向的证据,回了几十帖

    现在再看,视频都没了

    下面是视频补档

    https://www.bilibili.com/video/BV1Nm411S7uJ/
    showgood163
        54
    showgood163  
       2024-02-20 21:38:34 +08:00
    @CatCode

    我的想法和你差不多。原视频评论区里有人指出来这两点了,但 UP 和边亮(是这个名字把)压根不理。
    Rnreck
        55
    Rnreck  
       2024-02-20 21:40:36 +08:00
    @ZZ74 #2 没办法,谁也不想摊上法律风险
    Rnreck
        56
    Rnreck  
       2024-02-20 21:41:01 +08:00
    @e2k #22 无了
    pisser
        57
    pisser  
       2024-02-20 21:49:43 +08:00
    吃瓜看后续!
    lambdaq
        58
    lambdaq  
       2024-02-20 22:03:33 +08:00
    @zaizaizai2333 其实还有一个可能性,那就是 apt 攻破了微软,把私货加入了 KB5034203 补丁里。这个概率很小,但也不能完全排除。
    hez2010
        59
    hez2010  
       2024-02-20 22:23:13 +08:00   ❤️ 9
    其实是因为 360 注入 explorer.exe 进程导致和 feed 功能冲突,于是会使得 explorer.exe 进程直接崩溃掉。因此 explorer.exe 帮 360 擦屁股,检测到 360 进程则禁用 feed 功能(关闭 ShellFeedsCampaign ),避免冲突。
    win11 因为 feed 和小组件是独立于 explorer.exe 的进程,所以 360 没有注入,因此不需要做这种事情避免 explorer.exe 崩溃。
    0x6c696e71696e67
        60
    0x6c696e71696e67  
       2024-02-20 23:01:13 +08:00
    @peachpeach 没必要,现在的 windows 更新不烦人了,以前是真的烦,导致我每次开机都点击更新一次,确保没有需要重启的更新,不然真的会自动更新
    Shugen002
        61
    Shugen002  
       2024-02-21 01:20:45 +08:00
    这事按我的理解就是 360 前面在这里尿了一壶,然后微软也想在这里尿一壶,为避免打架,就搞了骚操作检测,然后就被火绒抓了。

    (都 tm 想在用户界面上面拉屎拉尿,都去 s 啊!)
    event112
        62
    event112  
       2024-02-21 02:43:38 +08:00   ❤️ 3
    epcdiy 联合 360 工程师贼喊捉贼,被发现不对劲后“不可抗力”下架视频
    zhihu.com/question/642107690/answer/3402957130
    AssassinLOVE
        63
    AssassinLOVE  
       2024-02-21 07:46:47 +08:00
    知道了 不用火绒
    lchkid
        64
    lchkid  
       2024-02-21 09:13:04 +08:00
    为什么会同时装 360 和火绒
    abc500
        65
    abc500  
       2024-02-21 09:23:04 +08:00
    @lchkid 你好像没读懂题
    8E9aYW8oj31rnbOK
        66
    8E9aYW8oj31rnbOK  
       2024-02-21 09:24:08 +08:00
    难怪最近火绒有莫名其妙的占用 ,并且 explor 经常重启
    lchkid
        67
    lchkid  
       2024-02-21 09:41:35 +08:00
    @abc500 #65 重新看了下详细的经过,确实拍脑子回复了
    lifansama
        68
    lifansama  
       2024-02-21 09:50:56 +08:00
    请问是 KB5034763 吗?昨天更新了,现在 explorer.exe 的 CPU 占用在 0.5%~26%~0.5%之间反复横跳,十秒一循环
    sloknyyz
        69
    sloknyyz  
       2024-02-21 10:04:44 +08:00   ❤️ 3
    国内的一些厂商就喜欢在系统里拉屎,之前就发现百度网盘注入 explorer 导致 cpu 占用高,https://www.v2ex.com/t/1007324
    微软就不该惯着这些垃圾软件,直接搞个系统黑名单,不改好不让启动。越惯着问题越来越多。
    windmoonwind
        70
    windmoonwind  
       2024-02-21 10:08:01 +08:00   ❤️ 7
    win10 娘睁眼发现自己身处天朝,赶紧摸摸有没有被 360 插入,一旦发现了赶紧把自己的小首饰偷偷摘了,因为这会让 360 动起来觉得不舒服。

    但这么个委屈巴巴的小动作被老鸨看见了:瞳子,你丫藏钱呢吧!

    lifansama
        71
    lifansama  
       2024-02-21 10:08:23 +08:00
    @lifansama 本来我的地区选的是台湾,换成中国,重启,好了🤣
    Giftina
        72
    Giftina  
       2024-02-21 10:25:53 +08:00   ❤️ 9
    看下来给我的感觉是,360 和微软各自都在 explorer.exe 中插广告。微软帮 360 擦屁股,360 踹了火绒一脚。

    微软发现 360 使用 hack 行为注入了 explorer 后会对微软广告 feed 产生冲突,导致 explorer 进程崩溃,于是微软在考量到各种因素后,委曲求全、自作主张地下发了一个补丁,替换了 explorer.exe 。

    这个 explorer.exe 有监控动作,当监控发现本机被设定为中国区域、且安装了 360 ,那么会禁用微软广告 feed 。只有 360 广告,且不会崩溃,皆大欢喜。

    这个操作一般而言已经是非常典型的恶意行为:“当检测到安全软件存在时,进行某个操作”,而 360 先知先觉把这个监控操作做了白名单处理,不会报毒。而火绒杀软对此认为是恶意行为,没有对系统进程做好处理逻辑,直接把 explorer.exe 隔离,导致用户电脑无法进入桌面。

    360 安全公司的一个名为边亮的安全工程师带节奏,贼喊捉贼,在明知此事真相的情况下,发挥 3q 大战时期的优秀传统,发了一个半真半假的解析视频,以技术分析为由,打压侵占其市场份额的火绒杀软。但随即边亮发现评论区并非都是以往脑残跟风的情景,有不少人指出了事情真相,不得不删除视频。

    事件结束。360 和微软双赢,火绒风评被害且道歉。

    🤡
    Vegetable
        73
    Vegetable  
       2024-02-21 10:37:04 +08:00
    @windmoonwind 羡慕你的菜花
    mscsky
        74
    mscsky  
       2024-02-21 10:42:03 +08:00
    不就是微软要变着法子推广告信息流嘛
    MiaoZR
        75
    MiaoZR  
       2024-02-21 11:02:41 +08:00
    昨天给同事解决电脑黑屏
    MiaoZR
        76
    MiaoZR  
       2024-02-21 11:04:52 +08:00
    昨天给同事解决电脑黑屏,发现联想的安全管家也把资源管理器杀了。。
    DammPl
        77
    DammPl  
       2024-02-21 11:36:27 +08:00 via Android
    @MiaoZR 联想的安全管家就是火绒换皮,之前火绒上架的软件商店就是联想软件商店换皮
    YuiTH
        78
    YuiTH  
       2024-02-21 12:33:18 +08:00
    @zhzy0077 有 link 吗,我翻了半天没找到最新的 branch 。难道有每个 branch 的权限要求?
    dawnvivid
        79
    dawnvivid  
       2024-02-21 12:52:43 +08:00   ❤️ 2
    上次这个 epcdiy 挂着边亮的羊头,把三星输入法走 HTTP (非 HTTPS )调用搜狗拼音的云输入法 API ( http://shouji.sogou.com/web_ime/mobile_pb.php )的事情( https://nvd.nist.gov/vuln/detail/CVE-2023-42579 )含沙射影地说是故意上传用户输入用于广告( https://www.bilibili.com/video/BV1KK4y1B7Nr/)的时候,我就觉得这个 UP 的视频内容不太靠谱,是在故意整一些 b 站网友爱听的内容输出情绪
    kd9yYw2RyhQwAwzn
        80
    kd9yYw2RyhQwAwzn  
       2024-02-21 14:35:01 +08:00
    这个 up 不好评
    Tiger511
        81
    Tiger511  
       2024-02-21 14:58:32 +08:00
    这不扯呢,微软要干你需要在应用层的 explorer 里面做?内核摁死所有 syscall 360 你有啥办法?你要么自己写一个操作系统,要么就受着。
    Tiger511
        82
    Tiger511  
       2024-02-21 14:59:09 +08:00
    中国这些搞安全的太能给自己加戏
    zhzy0077
        83
    zhzy0077  
       364 天前
    @YuiTH alias 发一下?担心的话可以用下面的 RSA pubkey 加个密

    -----BEGIN PUBLIC KEY-----
    MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAKVqCLa5MawsZ5PuWqrjwhz8IdUBY3Oj
    bH/d/hJXXwQJAgMBAAE=
    -----END PUBLIC KEY-----


    echo 'xxxx' | openssl rsautl -encrypt -pubin -inkey pub.key | base64
    acctv2
        84
    acctv2  
       364 天前
    要真是 ZZ 原因搞你,微软需要绕这种弯子?

    这就好比马尔代夫高呼美国针对他一样,360 也配?
    YuiTH
        85
    YuiTH  
       364 天前
    @zhzy0077 请直接发到 securityinterest@service.microsoft.com 吧,刚建了个组。谢谢
    LnTrx
        86
    LnTrx  
       363 天前
    可以把最近的视频加到附言: 对话微软程序员:资源管理器为什么会监视 360 https://www.bilibili.com/video/BV1ZF4m177EZ/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5449 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 07:40 · PVG 15:40 · LAX 23:40 · JFK 02:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.