V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zaizaizai2333
V2EX  ›  分享发现

独家解密火绒误杀 win10 系统文件(explorer.exe)背后的真相 [安全专家 边亮 的频道视频]

  •  3
     
  •   zaizaizai2333 · 305 天前 · 11079 次点击
    这是一个创建于 305 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://www.bilibili.com/video/BV1TA4m137zw

    简言之(个人理解,未必完整):

    微软 explorer.exe 新加入了监控 region 设置为中国的电脑的 360 进程,而且 explorer.exe 的时间戳设置成了 2085 年,导致火绒误认为被植入了木马。

    第 1 条附言  ·  302 天前
    新的一集:
    对话微软程序员:资源管理器为什么会监视 360 https://www.bilibili.com/video/BV1ZF4m177EZ

    第六点最有意思了,讲为什么 Windows Defender 为什么会对签名过的原版 explorer.exe 压缩包报毒,报毒类型是 Trojan:Script/Wacatac.B!ml 。
    86 条回复    2024-02-22 16:50:24 +08:00
    zaizaizai2333
        1
    zaizaizai2333  
    OP
       305 天前
    边亮提前发现了这个事情,在微软推开更新之前,360 就增加了规则避免误杀。火绒没有发现,躺枪。
    ZZ74
        2
    ZZ74  
       305 天前
    监控 region 设置为中国。。。。
    呵呵呵呵,多少和不让用 AI 有点点关系吧
    xiaozhubin
        3
    xiaozhubin  
       305 天前   ❤️ 1
    我好奇,微软为何独宠 360 ,把 360 加入监控?
    InDom
        4
    InDom  
       305 天前
    微软为了监控 360 特意在更新中加了规则,360 在更新前识别规则并避免。

    好啊
    qqjt
        5
    qqjt  
       305 天前
    微软“本地化”做得不错
    zaizaizai2333
        6
    zaizaizai2333  
    OP
       305 天前
    谁有这个 KB5034203 的 explorer.exe ,上传上来,大家逆向看看。

    视频里面被分析的文件名是 215220ed492ed274f41129d33a2df72d_explorer.exe 估计前面就是 MD5 值。
    cuit4017
        7
    cuit4017  
       305 天前
    好奇 360 如何规避的
    zaizaizai2333
        8
    zaizaizai2333  
    OP
       305 天前
    @xiaozhubin
    @InDom 估计逆向看代码,仔细分析就知道为什么了。不过时间戳为什么呢?
    zaizaizai2333
        9
    zaizaizai2333  
    OP
       305 天前
    @cuit4017 估计很简单,就添加了一个规则,把识别出来可能是 AVKiller 的 explorer.exe ,再分析一下是不是这次更新的变化,是的话,就白名单不杀毒。
    showgood163
        10
    showgood163  
       305 天前   ❤️ 1
    为啥 explorer.exe 要检测 360 的几个进程?检测之后具体做了什么?

    视频里没回答这个问题
    minami
        11
    minami  
       305 天前   ❤️ 26
    这个视频实际上故意话只说了一半,我稍微看了下就有疑问:1 、微软此举的目的到底是什么,视频里完全没有提及,只是一味往木马上靠,总不能监听 360 进程后啥也没干,就打个日志?; 2 、360 既然早就知道了,为什么不公开?逻辑上完全说不通,除非 360 自己非常清楚原因。反正看完这个视频,我只觉得是来带节奏的,并不是来公开真相的
    Tyrant1984
        12
    Tyrant1984  
       305 天前
    我说我这几天为什么 explorer 怎么一直崩溃重启…还想着 Win11 是不是又该重装了…我还寻思我 Win10 用了好几年也没怎么重装过,这 Win11 怎么这么弱。
    e2k
        13
    e2k  
       305 天前
    被火绒杀掉的 explorer.exe https://f.ws59.cn/f/dfxf9n0nted
    YGBlvcAK
        14
    YGBlvcAK  
       305 天前   ❤️ 1
    草,这是错怪火绒了,不过好在我装完 win10 ltsc 就把自动更新给灭了,哈哈
    fs418082760
        15
    fs418082760  
       305 天前   ❤️ 1
    @minami #11 2 种可能,1.360 作恶,做到微软恶心到受不了 放弃中立地位下场绕过 2.ZZ 原因,360 技术牛 B ,微软针对他 具体中间原因他肯定也不会知道啊。你猜?
    showgood163
        16
    showgood163  
       305 天前   ❤️ 14
    视频评论里有这样的解释:


    ```

    闭口不谈 360 对 explorer 干了些什么是吧(
    ida 分析看了下是资源管理器主动检查 360 进程是否运行 是的话就不会启动资讯和兴趣功能 盲猜是和 360 注入 explorer 导致妙妙的不兼容有关系
    火绒报毒是因为这个检测行为很像 avkiller 就是

    ```
    showgood163
        17
    showgood163  
       305 天前
    期待更多的人提供自己的检测结果
    NerbraskaGuy
        18
    NerbraskaGuy  
       305 天前
    360 这些年一直在和 gov 合作,不然为啥被美国加了制裁名单,微软针对 360 多半也是 zz 原因
    FengMubai
        19
    FengMubai  
       305 天前
    @minami 个人猜测微软的目的和这个文章相关 https://www.youxia.org/2024/02/113352.html (注意有个阻止没有写明国家, 但英文版中是有的)
    如果真得有关, 那确实不好说太细
    Qetesh
        20
    Qetesh  
       305 天前   ❤️ 2
    火绒很勇啊,带着微软签名都要杀一遍
    minami
        21
    minami  
       305 天前
    @fs418082760 他都逆向了怎么可能不知道
    e2k
        22
    e2k  
       305 天前
    mercury233
        23
    mercury233  
       305 天前
    @YGBlvcAK #14
    火绒对系统关键文件似乎没有特殊处理,而是直接隔离,很可能说明火绒对系统文件被蠕虫病毒感染的场景没有做好预案,火绒的锅还是大的
    maggch97
        24
    maggch97  
       305 天前   ❤️ 11
    这个视频符合我对 epcdiy 以及他的粉丝的刻板认识
    supersadmin
        25
    supersadmin  
       305 天前
    年前中枪了,恢复后系统工具栏无法使用,重装系统中...
    zaizaizai2333
        26
    zaizaizai2333  
    OP
       305 天前
    @showgood163
    @minami
    @fs418082760 原视频说了,好像是检测到 360 后打 log 。

    @e2k 原视频提供的文件在 https://pan.baidu.com/s/1fSxqq3yvDbE2hIVOUsI7Ew?pwd=8qfj 确实有 MD5 (215220ed492ed274f41129d33a2df72d_explorer.exe) = 215220ed492ed274f41129d33a2df72d
    huBane
        27
    huBane  
       305 天前
    中午看了视频,挺乐的,跟前面想法一样“微软为何独宠 360”希望有后续。
    ysc3839
        28
    ysc3839  
       305 天前 via Android   ❤️ 6
    那个 PE 格式的时间戳因为要保证相同代码构建出来的二进制文件完全一致,已经改成了随机的 hash 了。这个机制的官方名称叫 reproducible builds ,视频评论区也有人提到,我个人不太相信搞安全的人不懂这种机制。
    https://devblogs.microsoft.com/oldnewthing/20180103-00/?p=97705
    kernelpanic
        29
    kernelpanic  
       305 天前
    伪科普有毒, 少看
    zaizaizai2333
        30
    zaizaizai2333  
    OP
       305 天前
    @ysc3839 搞错了,发现这个 up 主是 epcdiy ,不是搞安全的,应该不太懂。

    不过举的著名例子挺有意思,NSA 的攻击软件的 timestamp 是伪造的,远远早于其标注的平台 amd64 的问世时间,暴露了自己。
    ysc3839
        31
    ysc3839  
       305 天前 via Android   ❤️ 3
    @zaizaizai2333 边亮作为共同创作视频的人,按理说有审稿责任吧。
    peachpeach
        32
    peachpeach  
       305 天前
    我安装完 win10 第一件事, 就是干掉 windows 自动更新.
    zhzy0077
        33
    zhzy0077  
       305 天前
    翻了下 commit ,挺乐的一件事,官方出解释之前不好讲。不过和什么偷数据间谍没啥关系。还是因为 360 对 explorer.exe 的魔改导致的。但总结起来是一个巴掌拍不响。Microsoft 在这个改动上也不是什么好东西
    ETiV
        34
    ETiV  
       305 天前   ❤️ 15
    「操作系统应该是中立的」

    我觉得浏览器也应该是中立的…不应该主动屏蔽任何域名、网站 🤣
    zhangyangkam1
        35
    zhangyangkam1  
       305 天前
    @minami 逆向只知道他做了什么操作,怎么知道他是什么目的?
    leena
        36
    leena  
       305 天前 via iPhone
    @peachpeach 这个怎么实现的
    leonshaw
        37
    leonshaw  
       305 天前
    @ETiV 手机系统给微信加白差不多都是标准操作了。。
    CatCode
        38
    CatCode  
       305 天前
    @showgood163 其实可以反过来想想嘛
    1. 如果时间戳字段不是 reproducible build ,而就是普通时间戳,“作恶”的人为什么要填个 60 年后的时间,提前暴露自己?
    2. 为什么只检测 360 杀毒?“作恶”的人真要逃避杀软,那么金山系是吃软饭的?腾讯系是吃软饭的?预装怪物卖咖啡是吃软饭的?喔,对,还有主角火绒也是吃软饭的?
    YAOMFFL
        39
    YAOMFFL  
       305 天前
    话说之前三星输入法的那个视频是他们不?
    Aurorataro
        40
    Aurorataro  
       305 天前
    @ETiV 浏览器是中立的,监管部门不是中立的啊🤣
    oamzn
        41
    oamzn  
       305 天前
    等 360 的公告
    ysc3839
        42
    ysc3839  
       305 天前 via Android
    目前原视频已被删除,视频上传者的动态里并未说明删除情况及原因
    minami
        43
    minami  
       305 天前 via Android   ❤️ 1
    @zhangyangkam1 你知道它干啥了那目的基本就猜出来了,比如上面有人说是什么兴趣资讯之类的,那显然大概率是规避 bug 。靠特殊处理来规避 bug 再正常不过了,windows 还给某游戏做过特殊处理呢,咋了
    phrack
        44
    phrack  
       305 天前 via iPhone
    @ETiV 对于熟悉操作系统的人应该是中立的。

    不懂电脑还需要经常上网的,裸奔多半是要中毒的,这个时候操作系统就不能中立,自带保护才是正常的。这部分消费者是大头,所以针对消费者的系统都这样设计。
    miaomiao888
        45
    miaomiao888  
       305 天前
    又有黑手把视频删除咯,和并夕夕一样强无人敢动。
    GeekGao
        46
    GeekGao  
       305 天前
    火绒安全就重大失误道歉 不慎将资源管理器当病毒杀结果导致黑屏
    https://www.cnbeta.com.tw/articles/tech/1418701.htm

    这个?
    boboliu
        47
    boboliu  
       305 天前
    他视频说的后两个点( 360 hijacking ,CN Region )看起来都是影响 ShellFeedsCampaign 开关策略的,
    具体影响的注册表是 HKCU\Software\Microsoft\Windows\CurrentVersion\Feeds ,搜一下就知道是干嘛的了。
    r03r03
        48
    r03r03  
       305 天前
    视频内容已被 UP 主删除,视频无法观看,敬请谅解。
    kid2man
        49
    kid2man  
       305 天前
    ![Snipaste_2024-02-20_20-56-39.jpg]( https://img.duan.ee/z/2024/02/20/65d4a1abca722.jpg)
    lyc8503
        50
    lyc8503  
       305 天前   ❤️ 10
    逆向分析的极其粗糙,没有任何实锤的恶意行为,语焉不详输出情绪,评论区全是带节奏

    事实上很可能只是 MS 在 explorer.exe 中添加了一些兼容性处理手段,微软真想要加后门怎么可能往 explorer.exe 这么明显的地方加,问题肯定还是在火绒病毒库更新和测试不完善

    边亮也完全没有尽到联合投稿前的稿件基本审核义务
    jim9606
        51
    jim9606  
       305 天前   ❤️ 3
    按照“检测到 360 就主动禁用 shell 推广功能”来看算是比较合理的解释。

    以微软过去十多年给各种第三方软件擦屁股的习惯来看,这样反向适配也不算什么大问题,特别还是杀毒软件这类野路子操作当饭吃的软件,随便改点啥都很容易被系统搞崩,没深度沟通渠道需要反向适配很正常。

    原 UP 不懂这些可以理解,我感觉认识 Raymond Chen 的人才能理解下微软的这种选择。
    VIVIANSNOW
        52
    VIVIANSNOW  
       305 天前
    不提技术好坏。火绒这种小众万玩意 躺枪也无所谓。哈哈
    showgood163
        53
    showgood163  
       305 天前
    几个小时前,我搜了下自己转的那条评论,已经没了;置顶帖里有人指出 UP 选择性报导,并且给出了逆向的证据,回了几十帖

    现在再看,视频都没了

    下面是视频补档

    https://www.bilibili.com/video/BV1Nm411S7uJ/
    showgood163
        54
    showgood163  
       305 天前
    @CatCode

    我的想法和你差不多。原视频评论区里有人指出来这两点了,但 UP 和边亮(是这个名字把)压根不理。
    Rnreck
        55
    Rnreck  
       305 天前
    @ZZ74 #2 没办法,谁也不想摊上法律风险
    Rnreck
        56
    Rnreck  
       305 天前
    @e2k #22 无了
    pisser
        57
    pisser  
       305 天前
    吃瓜看后续!
    lambdaq
        58
    lambdaq  
       305 天前
    @zaizaizai2333 其实还有一个可能性,那就是 apt 攻破了微软,把私货加入了 KB5034203 补丁里。这个概率很小,但也不能完全排除。
    hez2010
        59
    hez2010  
       305 天前   ❤️ 9
    其实是因为 360 注入 explorer.exe 进程导致和 feed 功能冲突,于是会使得 explorer.exe 进程直接崩溃掉。因此 explorer.exe 帮 360 擦屁股,检测到 360 进程则禁用 feed 功能(关闭 ShellFeedsCampaign ),避免冲突。
    win11 因为 feed 和小组件是独立于 explorer.exe 的进程,所以 360 没有注入,因此不需要做这种事情避免 explorer.exe 崩溃。
    0x6c696e71696e67
        60
    0x6c696e71696e67  
       304 天前
    @peachpeach 没必要,现在的 windows 更新不烦人了,以前是真的烦,导致我每次开机都点击更新一次,确保没有需要重启的更新,不然真的会自动更新
    Shugen002
        61
    Shugen002  
       304 天前
    这事按我的理解就是 360 前面在这里尿了一壶,然后微软也想在这里尿一壶,为避免打架,就搞了骚操作检测,然后就被火绒抓了。

    (都 tm 想在用户界面上面拉屎拉尿,都去 s 啊!)
    event112
        62
    event112  
       304 天前   ❤️ 3
    epcdiy 联合 360 工程师贼喊捉贼,被发现不对劲后“不可抗力”下架视频
    zhihu.com/question/642107690/answer/3402957130
    AssassinLOVE
        63
    AssassinLOVE  
       304 天前
    知道了 不用火绒
    lchkid
        64
    lchkid  
       304 天前
    为什么会同时装 360 和火绒
    abc500
        65
    abc500  
       304 天前
    @lchkid 你好像没读懂题
    8E9aYW8oj31rnbOK
        66
    8E9aYW8oj31rnbOK  
       304 天前
    难怪最近火绒有莫名其妙的占用 ,并且 explor 经常重启
    lchkid
        67
    lchkid  
       304 天前
    @abc500 #65 重新看了下详细的经过,确实拍脑子回复了
    lifansama
        68
    lifansama  
       304 天前
    请问是 KB5034763 吗?昨天更新了,现在 explorer.exe 的 CPU 占用在 0.5%~26%~0.5%之间反复横跳,十秒一循环
    sloknyyz
        69
    sloknyyz  
       304 天前   ❤️ 3
    国内的一些厂商就喜欢在系统里拉屎,之前就发现百度网盘注入 explorer 导致 cpu 占用高,https://www.v2ex.com/t/1007324
    微软就不该惯着这些垃圾软件,直接搞个系统黑名单,不改好不让启动。越惯着问题越来越多。
    windmoonwind
        70
    windmoonwind  
       304 天前   ❤️ 7
    win10 娘睁眼发现自己身处天朝,赶紧摸摸有没有被 360 插入,一旦发现了赶紧把自己的小首饰偷偷摘了,因为这会让 360 动起来觉得不舒服。

    但这么个委屈巴巴的小动作被老鸨看见了:瞳子,你丫藏钱呢吧!

    lifansama
        71
    lifansama  
       304 天前
    @lifansama 本来我的地区选的是台湾,换成中国,重启,好了🤣
    Giftina
        72
    Giftina  
       304 天前   ❤️ 9
    看下来给我的感觉是,360 和微软各自都在 explorer.exe 中插广告。微软帮 360 擦屁股,360 踹了火绒一脚。

    微软发现 360 使用 hack 行为注入了 explorer 后会对微软广告 feed 产生冲突,导致 explorer 进程崩溃,于是微软在考量到各种因素后,委曲求全、自作主张地下发了一个补丁,替换了 explorer.exe 。

    这个 explorer.exe 有监控动作,当监控发现本机被设定为中国区域、且安装了 360 ,那么会禁用微软广告 feed 。只有 360 广告,且不会崩溃,皆大欢喜。

    这个操作一般而言已经是非常典型的恶意行为:“当检测到安全软件存在时,进行某个操作”,而 360 先知先觉把这个监控操作做了白名单处理,不会报毒。而火绒杀软对此认为是恶意行为,没有对系统进程做好处理逻辑,直接把 explorer.exe 隔离,导致用户电脑无法进入桌面。

    360 安全公司的一个名为边亮的安全工程师带节奏,贼喊捉贼,在明知此事真相的情况下,发挥 3q 大战时期的优秀传统,发了一个半真半假的解析视频,以技术分析为由,打压侵占其市场份额的火绒杀软。但随即边亮发现评论区并非都是以往脑残跟风的情景,有不少人指出了事情真相,不得不删除视频。

    事件结束。360 和微软双赢,火绒风评被害且道歉。

    🤡
    Vegetable
        73
    Vegetable  
       304 天前
    @windmoonwind 羡慕你的菜花
    mscsky
        74
    mscsky  
       304 天前
    不就是微软要变着法子推广告信息流嘛
    MiaoZR
        75
    MiaoZR  
       304 天前
    昨天给同事解决电脑黑屏
    MiaoZR
        76
    MiaoZR  
       304 天前
    昨天给同事解决电脑黑屏,发现联想的安全管家也把资源管理器杀了。。
    DammPl
        77
    DammPl  
       304 天前 via Android
    @MiaoZR 联想的安全管家就是火绒换皮,之前火绒上架的软件商店就是联想软件商店换皮
    YuiTH
        78
    YuiTH  
       304 天前
    @zhzy0077 有 link 吗,我翻了半天没找到最新的 branch 。难道有每个 branch 的权限要求?
    dawnvivid
        79
    dawnvivid  
       304 天前   ❤️ 2
    上次这个 epcdiy 挂着边亮的羊头,把三星输入法走 HTTP (非 HTTPS )调用搜狗拼音的云输入法 API ( http://shouji.sogou.com/web_ime/mobile_pb.php )的事情( https://nvd.nist.gov/vuln/detail/CVE-2023-42579 )含沙射影地说是故意上传用户输入用于广告( https://www.bilibili.com/video/BV1KK4y1B7Nr/)的时候,我就觉得这个 UP 的视频内容不太靠谱,是在故意整一些 b 站网友爱听的内容输出情绪
    kd9yYw2RyhQwAwzn
        80
    kd9yYw2RyhQwAwzn  
       304 天前
    这个 up 不好评
    Tiger511
        81
    Tiger511  
       304 天前
    这不扯呢,微软要干你需要在应用层的 explorer 里面做?内核摁死所有 syscall 360 你有啥办法?你要么自己写一个操作系统,要么就受着。
    Tiger511
        82
    Tiger511  
       304 天前
    中国这些搞安全的太能给自己加戏
    zhzy0077
        83
    zhzy0077  
       304 天前
    @YuiTH alias 发一下?担心的话可以用下面的 RSA pubkey 加个密

    -----BEGIN PUBLIC KEY-----
    MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAKVqCLa5MawsZ5PuWqrjwhz8IdUBY3Oj
    bH/d/hJXXwQJAgMBAAE=
    -----END PUBLIC KEY-----


    echo 'xxxx' | openssl rsautl -encrypt -pubin -inkey pub.key | base64
    acctv2
        84
    acctv2  
       304 天前
    要真是 ZZ 原因搞你,微软需要绕这种弯子?

    这就好比马尔代夫高呼美国针对他一样,360 也配?
    YuiTH
        85
    YuiTH  
       303 天前
    @zhzy0077 请直接发到 [email protected] 吧,刚建了个组。谢谢
    LnTrx
        86
    LnTrx  
       303 天前
    可以把最近的视频加到附言: 对话微软程序员:资源管理器为什么会监视 360 https://www.bilibili.com/video/BV1ZF4m177EZ/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2761 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 14:24 · PVG 22:24 · LAX 06:24 · JFK 09:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.