https://www.bilibili.com/video/BV1TA4m137zw
简言之(个人理解,未必完整):
微软 explorer.exe 新加入了监控 region 设置为中国的电脑的 360 进程,而且 explorer.exe 的时间戳设置成了 2085 年,导致火绒误认为被植入了木马。
1
zaizaizai2333 OP 边亮提前发现了这个事情,在微软推开更新之前,360 就增加了规则避免误杀。火绒没有发现,躺枪。
|
2
ZZ74 275 天前
监控 region 设置为中国。。。。
呵呵呵呵,多少和不让用 AI 有点点关系吧 |
3
xiaozhubin 275 天前 1
我好奇,微软为何独宠 360 ,把 360 加入监控?
|
4
InDom 275 天前
微软为了监控 360 特意在更新中加了规则,360 在更新前识别规则并避免。
好啊 |
5
qqjt 275 天前
微软“本地化”做得不错
|
6
zaizaizai2333 OP 谁有这个 KB5034203 的 explorer.exe ,上传上来,大家逆向看看。
视频里面被分析的文件名是 215220ed492ed274f41129d33a2df72d_explorer.exe 估计前面就是 MD5 值。 |
7
cuit4017 275 天前
好奇 360 如何规避的
|
8
zaizaizai2333 OP |
9
zaizaizai2333 OP @cuit4017 估计很简单,就添加了一个规则,把识别出来可能是 AVKiller 的 explorer.exe ,再分析一下是不是这次更新的变化,是的话,就白名单不杀毒。
|
10
showgood163 275 天前 1
为啥 explorer.exe 要检测 360 的几个进程?检测之后具体做了什么?
视频里没回答这个问题 |
11
minami 275 天前 26
这个视频实际上故意话只说了一半,我稍微看了下就有疑问:1 、微软此举的目的到底是什么,视频里完全没有提及,只是一味往木马上靠,总不能监听 360 进程后啥也没干,就打个日志?; 2 、360 既然早就知道了,为什么不公开?逻辑上完全说不通,除非 360 自己非常清楚原因。反正看完这个视频,我只觉得是来带节奏的,并不是来公开真相的
|
12
Tyrant1984 275 天前
我说我这几天为什么 explorer 怎么一直崩溃重启…还想着 Win11 是不是又该重装了…我还寻思我 Win10 用了好几年也没怎么重装过,这 Win11 怎么这么弱。
|
13
e2k 275 天前
被火绒杀掉的 explorer.exe https://f.ws59.cn/f/dfxf9n0nted
|
14
YGBlvcAK 275 天前 1
草,这是错怪火绒了,不过好在我装完 win10 ltsc 就把自动更新给灭了,哈哈
|
15
fs418082760 275 天前 1
@minami #11 2 种可能,1.360 作恶,做到微软恶心到受不了 放弃中立地位下场绕过 2.ZZ 原因,360 技术牛 B ,微软针对他 具体中间原因他肯定也不会知道啊。你猜?
|
16
showgood163 275 天前 14
视频评论里有这样的解释:
``` 闭口不谈 360 对 explorer 干了些什么是吧( ida 分析看了下是资源管理器主动检查 360 进程是否运行 是的话就不会启动资讯和兴趣功能 盲猜是和 360 注入 explorer 导致妙妙的不兼容有关系 火绒报毒是因为这个检测行为很像 avkiller 就是 ``` |
17
showgood163 275 天前
期待更多的人提供自己的检测结果
|
18
NerbraskaGuy 275 天前
360 这些年一直在和 gov 合作,不然为啥被美国加了制裁名单,微软针对 360 多半也是 zz 原因
|
19
FengMubai 275 天前
@minami 个人猜测微软的目的和这个文章相关 https://www.youxia.org/2024/02/113352.html (注意有个阻止没有写明国家, 但英文版中是有的)
如果真得有关, 那确实不好说太细 |
20
Qetesh 275 天前 2
火绒很勇啊,带着微软签名都要杀一遍
|
21
minami 275 天前
@fs418082760 他都逆向了怎么可能不知道
|
22
e2k 275 天前
|
23
mercury233 275 天前
@YGBlvcAK #14
火绒对系统关键文件似乎没有特殊处理,而是直接隔离,很可能说明火绒对系统文件被蠕虫病毒感染的场景没有做好预案,火绒的锅还是大的 |
24
maggch97 275 天前 11
这个视频符合我对 epcdiy 以及他的粉丝的刻板认识
|
25
supersadmin 275 天前
年前中枪了,恢复后系统工具栏无法使用,重装系统中...
|
26
zaizaizai2333 OP @showgood163
@minami @fs418082760 原视频说了,好像是检测到 360 后打 log 。 @e2k 原视频提供的文件在 https://pan.baidu.com/s/1fSxqq3yvDbE2hIVOUsI7Ew?pwd=8qfj 确实有 MD5 (215220ed492ed274f41129d33a2df72d_explorer.exe) = 215220ed492ed274f41129d33a2df72d |
27
huBane 275 天前
中午看了视频,挺乐的,跟前面想法一样“微软为何独宠 360”希望有后续。
|
28
ysc3839 275 天前 via Android 6
那个 PE 格式的时间戳因为要保证相同代码构建出来的二进制文件完全一致,已经改成了随机的 hash 了。这个机制的官方名称叫 reproducible builds ,视频评论区也有人提到,我个人不太相信搞安全的人不懂这种机制。
https://devblogs.microsoft.com/oldnewthing/20180103-00/?p=97705 |
29
kernelpanic 275 天前
伪科普有毒, 少看
|
30
zaizaizai2333 OP @ysc3839 搞错了,发现这个 up 主是 epcdiy ,不是搞安全的,应该不太懂。
不过举的著名例子挺有意思,NSA 的攻击软件的 timestamp 是伪造的,远远早于其标注的平台 amd64 的问世时间,暴露了自己。 |
31
ysc3839 275 天前 via Android 3
@zaizaizai2333 边亮作为共同创作视频的人,按理说有审稿责任吧。
|
32
peachpeach 275 天前
我安装完 win10 第一件事, 就是干掉 windows 自动更新.
|
33
zhzy0077 275 天前
翻了下 commit ,挺乐的一件事,官方出解释之前不好讲。不过和什么偷数据间谍没啥关系。还是因为 360 对 explorer.exe 的魔改导致的。但总结起来是一个巴掌拍不响。Microsoft 在这个改动上也不是什么好东西
|
34
ETiV 275 天前 15
「操作系统应该是中立的」
我觉得浏览器也应该是中立的…不应该主动屏蔽任何域名、网站 🤣 |
35
zhangyangkam1 275 天前
@minami 逆向只知道他做了什么操作,怎么知道他是什么目的?
|
36
leena 275 天前 via iPhone
@peachpeach 这个怎么实现的
|
38
CatCode 275 天前
@showgood163 其实可以反过来想想嘛
1. 如果时间戳字段不是 reproducible build ,而就是普通时间戳,“作恶”的人为什么要填个 60 年后的时间,提前暴露自己? 2. 为什么只检测 360 杀毒?“作恶”的人真要逃避杀软,那么金山系是吃软饭的?腾讯系是吃软饭的?预装怪物卖咖啡是吃软饭的?喔,对,还有主角火绒也是吃软饭的? |
39
YAOMFFL 275 天前
话说之前三星输入法的那个视频是他们不?
|
40
Aurorataro 275 天前
@ETiV 浏览器是中立的,监管部门不是中立的啊🤣
|
41
oamzn 275 天前
等 360 的公告
|
42
ysc3839 275 天前 via Android
目前原视频已被删除,视频上传者的动态里并未说明删除情况及原因
|
43
minami 275 天前 via Android 1
@zhangyangkam1 你知道它干啥了那目的基本就猜出来了,比如上面有人说是什么兴趣资讯之类的,那显然大概率是规避 bug 。靠特殊处理来规避 bug 再正常不过了,windows 还给某游戏做过特殊处理呢,咋了
|
44
phrack 275 天前 via iPhone
|
45
miaomiao888 275 天前
又有黑手把视频删除咯,和并夕夕一样强无人敢动。
|
46
GeekGao 275 天前
|
47
boboliu 275 天前
他视频说的后两个点( 360 hijacking ,CN Region )看起来都是影响 ShellFeedsCampaign 开关策略的,
具体影响的注册表是 HKCU\Software\Microsoft\Windows\CurrentVersion\Feeds ,搜一下就知道是干嘛的了。 |
48
r03r03 275 天前
视频内容已被 UP 主删除,视频无法观看,敬请谅解。
|
49
kid2man 275 天前
![Snipaste_2024-02-20_20-56-39.jpg]( https://img.duan.ee/z/2024/02/20/65d4a1abca722.jpg)
|
50
lyc8503 275 天前 10
逆向分析的极其粗糙,没有任何实锤的恶意行为,语焉不详输出情绪,评论区全是带节奏
事实上很可能只是 MS 在 explorer.exe 中添加了一些兼容性处理手段,微软真想要加后门怎么可能往 explorer.exe 这么明显的地方加,问题肯定还是在火绒病毒库更新和测试不完善 边亮也完全没有尽到联合投稿前的稿件基本审核义务 |
51
jim9606 275 天前 3
按照“检测到 360 就主动禁用 shell 推广功能”来看算是比较合理的解释。
以微软过去十多年给各种第三方软件擦屁股的习惯来看,这样反向适配也不算什么大问题,特别还是杀毒软件这类野路子操作当饭吃的软件,随便改点啥都很容易被系统搞崩,没深度沟通渠道需要反向适配很正常。 原 UP 不懂这些可以理解,我感觉认识 Raymond Chen 的人才能理解下微软的这种选择。 |
52
VIVIANSNOW 275 天前
不提技术好坏。火绒这种小众万玩意 躺枪也无所谓。哈哈
|
53
showgood163 275 天前
几个小时前,我搜了下自己转的那条评论,已经没了;置顶帖里有人指出 UP 选择性报导,并且给出了逆向的证据,回了几十帖
现在再看,视频都没了 下面是视频补档 https://www.bilibili.com/video/BV1Nm411S7uJ/ |
54
showgood163 275 天前
|
57
pisser 275 天前
吃瓜看后续!
|
58
lambdaq 275 天前
@zaizaizai2333 其实还有一个可能性,那就是 apt 攻破了微软,把私货加入了 KB5034203 补丁里。这个概率很小,但也不能完全排除。
|
59
hez2010 275 天前 9
其实是因为 360 注入 explorer.exe 进程导致和 feed 功能冲突,于是会使得 explorer.exe 进程直接崩溃掉。因此 explorer.exe 帮 360 擦屁股,检测到 360 进程则禁用 feed 功能(关闭 ShellFeedsCampaign ),避免冲突。
win11 因为 feed 和小组件是独立于 explorer.exe 的进程,所以 360 没有注入,因此不需要做这种事情避免 explorer.exe 崩溃。 |
60
0x6c696e71696e67 275 天前
@peachpeach 没必要,现在的 windows 更新不烦人了,以前是真的烦,导致我每次开机都点击更新一次,确保没有需要重启的更新,不然真的会自动更新
|
61
Shugen002 275 天前
这事按我的理解就是 360 前面在这里尿了一壶,然后微软也想在这里尿一壶,为避免打架,就搞了骚操作检测,然后就被火绒抓了。
(都 tm 想在用户界面上面拉屎拉尿,都去 s 啊!) |
62
event112 275 天前 3
epcdiy 联合 360 工程师贼喊捉贼,被发现不对劲后“不可抗力”下架视频
zhihu.com/question/642107690/answer/3402957130 |
63
AssassinLOVE 275 天前
知道了 不用火绒
|
64
lchkid 275 天前
为什么会同时装 360 和火绒
|
66
8E9aYW8oj31rnbOK 275 天前
难怪最近火绒有莫名其妙的占用 ,并且 explor 经常重启
|
68
lifansama 275 天前
请问是 KB5034763 吗?昨天更新了,现在 explorer.exe 的 CPU 占用在 0.5%~26%~0.5%之间反复横跳,十秒一循环
|
69
sloknyyz 275 天前 3
国内的一些厂商就喜欢在系统里拉屎,之前就发现百度网盘注入 explorer 导致 cpu 占用高,https://www.v2ex.com/t/1007324
微软就不该惯着这些垃圾软件,直接搞个系统黑名单,不改好不让启动。越惯着问题越来越多。 |
70
windmoonwind 275 天前 7
win10 娘睁眼发现自己身处天朝,赶紧摸摸有没有被 360 插入,一旦发现了赶紧把自己的小首饰偷偷摘了,因为这会让 360 动起来觉得不舒服。
但这么个委屈巴巴的小动作被老鸨看见了:瞳子,你丫藏钱呢吧! |
72
Giftina 275 天前 9
看下来给我的感觉是,360 和微软各自都在 explorer.exe 中插广告。微软帮 360 擦屁股,360 踹了火绒一脚。
微软发现 360 使用 hack 行为注入了 explorer 后会对微软广告 feed 产生冲突,导致 explorer 进程崩溃,于是微软在考量到各种因素后,委曲求全、自作主张地下发了一个补丁,替换了 explorer.exe 。 这个 explorer.exe 有监控动作,当监控发现本机被设定为中国区域、且安装了 360 ,那么会禁用微软广告 feed 。只有 360 广告,且不会崩溃,皆大欢喜。 这个操作一般而言已经是非常典型的恶意行为:“当检测到安全软件存在时,进行某个操作”,而 360 先知先觉把这个监控操作做了白名单处理,不会报毒。而火绒杀软对此认为是恶意行为,没有对系统进程做好处理逻辑,直接把 explorer.exe 隔离,导致用户电脑无法进入桌面。 360 安全公司的一个名为边亮的安全工程师带节奏,贼喊捉贼,在明知此事真相的情况下,发挥 3q 大战时期的优秀传统,发了一个半真半假的解析视频,以技术分析为由,打压侵占其市场份额的火绒杀软。但随即边亮发现评论区并非都是以往脑残跟风的情景,有不少人指出了事情真相,不得不删除视频。 事件结束。360 和微软双赢,火绒风评被害且道歉。 🤡 |
73
Vegetable 275 天前
@windmoonwind 羡慕你的菜花
|
74
mscsky 275 天前
不就是微软要变着法子推广告信息流嘛
|
75
MiaoZR 275 天前
昨天给同事解决电脑黑屏
|
76
MiaoZR 275 天前
昨天给同事解决电脑黑屏,发现联想的安全管家也把资源管理器杀了。。
|
79
dawnvivid 274 天前 2
上次这个 epcdiy 挂着边亮的羊头,把三星输入法走 HTTP (非 HTTPS )调用搜狗拼音的云输入法 API ( http://shouji.sogou.com/web_ime/mobile_pb.php )的事情( https://nvd.nist.gov/vuln/detail/CVE-2023-42579 )含沙射影地说是故意上传用户输入用于广告( https://www.bilibili.com/video/BV1KK4y1B7Nr/)的时候,我就觉得这个 UP 的视频内容不太靠谱,是在故意整一些 b 站网友爱听的内容输出情绪
|
80
kd9yYw2RyhQwAwzn 274 天前
这个 up 不好评
|
81
Tiger511 274 天前
这不扯呢,微软要干你需要在应用层的 explorer 里面做?内核摁死所有 syscall 360 你有啥办法?你要么自己写一个操作系统,要么就受着。
|
82
Tiger511 274 天前
中国这些搞安全的太能给自己加戏
|
83
zhzy0077 274 天前
@YuiTH alias 发一下?担心的话可以用下面的 RSA pubkey 加个密
-----BEGIN PUBLIC KEY----- MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAKVqCLa5MawsZ5PuWqrjwhz8IdUBY3Oj bH/d/hJXXwQJAgMBAAE= -----END PUBLIC KEY----- echo 'xxxx' | openssl rsautl -encrypt -pubin -inkey pub.key | base64 |
84
acctv2 274 天前
要真是 ZZ 原因搞你,微软需要绕这种弯子?
这就好比马尔代夫高呼美国针对他一样,360 也配? |
85
YuiTH 274 天前
@zhzy0077 请直接发到 [email protected] 吧,刚建了个组。谢谢
|
86
LnTrx 273 天前
可以把最近的视频加到附言: 对话微软程序员:资源管理器为什么会监视 360 https://www.bilibili.com/video/BV1ZF4m177EZ/
|