249
212
【省流总结】完整分析才知道“火绒误杀win10系统文件背后的真相”背后的真相
2024-02-26 09:14:52
0点赞
1收藏
0评论
原视频:完整分析才知道“火绒误杀win10系统文件背后的真相”背后的真相 BV1At421h7zd
视频中引用以下两位大佬的分析:
@Henryzhao https://www.zhihu.com/question/642107690/answer/3402581666
@invalid s https://www.zhihu.com/question/642107690/answer/3402881569
省流:
AI字幕提取:E p c d i y
别再耸人听闻了
以下内容来自两位知乎大佬
henry john和in malade s是关于windows的explorer点
ex e程序的真正的完整分析
简介中会附上两位的原始回答
简要分析一下
检查360进程运行情况的函数
名为is hijacking process running
我是来翻译英文单词的
检测函数叫is hijacking process running
其中的hijacking意思是注入劫持
这是一种黑客手段
用来不知不觉的改变合法软件的合法行为
process进程运行中的程序
running运行中合起来就是this hijacking process running
查一查劫持我的进程是否在运行
查不到返回的错误码是hijacking process not run
意思是劫持我的黑客进程没有运行
如果错误码表示没有发现劫持explorer点ex e进程
也就是hijacking process not run
则执行动作
否则如果发现了360进程不执行动作
上级调用来自shelfs campaign
Helper chat campaign availability
如果检查为真
前往label下划线三四
Shelfeeds campaign helper check campaign availability
函数中label下划线三四的工作是返回零
也就是shelfs campaign不可用
执行的是什么动作呢
这个检查是shell feeds campaign helper
check campaign availability的一部分
这个东西翻译一下shell外壳操作系统的用户界面
或者说就是你看到的桌面FS饲料
在信息系统上一般指的是信息流
campaign活动
Availability
可用性加起来
就是检查桌面信息系统活动可用性
一般来说这指的是广告是否可以投放
做过出海软件的都知道
系统集成广告是针对不同区域投放的
有些区域投放广告是无效的
因为人家就不在这个区域经营
那么你在上面播放广告
除了打扰用户没有任何作用
反而降低你的点击有效率
因此广告商会限制区域
不把广告投放到某些无效区域
这个区域如何识别呢
手机上一般用GPS定位信息
比如识别到你是朝鲜IP
那就不给你投放游戏广告了
反正没法收费
但PC一般来说都没有GPS区域识别就很困难了
其他返回零的情况
例如center press device is device in dma region
is incompanionable region为否
Shelfie test
bview mode等于零等
explorer点ex e中is hijacking process running的行为
简要总结就是检测某些程序是否在运行
如果在运行
则关闭shell fs campaign功能
这些状况翻译过来分别是the center price device
是否企业设备广告只投放给个人
不给企业客户投放
is device in dma region是否位于DMA区域的设备
DMA区域的设备一般是路由器
服务器等设备
投放广告
也没人能看见
is in campaiginal region是否在活动允许区域
比如这个活动可能是针对欧洲的
那么美洲设备就不投放了
Shelfist test bar remode
桌面信息
任务栏是口模式
这个不太明白什么意思
可能是任务栏集成的小图标
类似这个
其中右侧的小图片是可以点击的
点进去是一个意大利旅游的广告
意大利五渔村
总之当发现这个东西被禁止后
就不投放广告了
以及最特别的is hijacking process running
是否正在运行劫持程序
探测到360相关程序
说明这台电脑正在被劫持
就不投放广告了
关于P1时间戳
explorer点ex e r tm版本
10.0.19041.1
与样本10.0.19041.3996
时间戳均不是正常时间戳
可能原因是使用了可重现
构建reproducible build的编译环境
需要不足以构成恶意程序特征
UP主本人总结
可能是由于360存在劫持explorer点ex e的行为
比如在任务栏
微软的广告位投放360自己的广告等行为
微软采取了在explorer点ex e中加入一些检测
360的代码
以判断是否需要继续投放广告
如果用户安装了360
那么就不再投放微软的广告
因为用户电脑上已经全是360的广告了
另外应我国政府要求
中国电子科技集团有限公司与微软公司
共同成立了中方控股合资公司
它包含了严格的数据外发控制
中国本地化的更新激活
加之配套的完善服务
是一个非自主
但是可控的windows版本
不会像EPCDIY所宣称的那样
具有安全问题
T e p c d i y
我相信你并非没有完整分析的能力
毕竟你已经在视频里
对于你的分析过程做出展示
但是你的分析过程却是断章取义的
我曾经因为你揭露微信的大而丑而关注你
因为你做出白眼这样的独立跑分软件而赞赏你
因为你胃里跳跳说话
而认为你是一个敢于说真话的人
但现在的你还是吗
你的WIFI7恰饭视频
并不说明对比产品究竟是WIFI4
WIFI5还是WIFI6
没有6000兆赫兹
WIFI6和WIFI7实际使用非常小
你有提醒小白用户无需把WIFI6升级到WIFI7
花冤枉钱吗
我曾在评论区向你提问
非WIFI7路由器不会是WIFI5路由器吧
给了你一个补充说明的机会
你置之不理
今天你又带着360的工程师向微软开炮
微软做错了吗
确实他在操作系统里投放广告
确实值得吐槽
但你却硬要给微软扣上一顶危害安全的帽子
这爱国流量当真那么好恰吗
评论存档(20240222)
epcdiy
置顶对话微软程序员:资源管理器为什么会监视360
请大家看这个,光道歉我知道没用,我只能以实际行动尽可能还原真相
7小时前
147
回复
FuryX
这期视频解释的比较清晰。人恒过,然后能改。能够将错误予以纠正就好。此外,这两天有一些网友被拉黑,也许一部分只谩骂而不指出具体的错误,但我还是希望您将他们从黑名单里放出来,我相信不是每个人都是完全出于恶意,大多只是因为视频的错误而起。当然,决定权在您。7小时前
64
回复
墨OvO鱼
360的问题是一点都说是吧6小时前
2
回复
共20条回复, 点击查看
世界丿凌晨
360劫持微软explorer中的组件替换成自己广告组件,微软发现360劫持替换explorer中的组件可能会出现兼容性问题。
为了解决问题,微软推送了兼容补丁,这个补丁中为了实现兼容加了很多条件检查,例如:区域、运行环境等,只有符合条件的情况下且检测到360劫持时会关闭explorer中的组件,以实现对360劫持行为的兼容。
然而这个这个兼容补丁的行为恰好与专门和杀软对抗的病毒行为类似,例如:检查杀软是否正在运行(这里杀软指的是360)。
火绒杀毒此时不知道微软会去给360擦屁股(老实人微软),主动防御也不管你叫啥你从哪来(这里指的是数字签名),只要行为符合病毒特征就杀。
最后安安静静干活的火绒被不明所以的用户冤枉是系统杀手。
奇怪的是@epcdiy 视频中将微软补丁中的条件检查描绘成对用户隐私的收集行为,然而视频中的内容全部来自与一位360员工。
2024-02-21 13:08
468
回复
UP主觉得很赞
打火机不好吃
要说火绒没有一点错倒也不是,火绒应该有一个根据哈希值动态更新的白名单,何况系统组件都有数字签名
不过这个微软给360擦屁股的事情也确实让人哭笑不得,只能说逆天的事情碰到一起了20小时前
13
回复
拾何花子
回复 @打火机不好吃 :反转了大反转3小时前
因为360注入了explore进程,给任务栏添加了360的广告,微软自身的广告和这个冲突了,所以微软采取了退让,在检测到360进程时,关闭自身的广告2024-02-21 17:05
41
回复
真时间
回复 @HelloAIone :这个还有点道理2024-02-21 17:12
回复
共66条回复, 点击查看
白活病
操作系统适配具体程序这种行为我想给微软洗一洗,
打个比方大家会比较好理解:
假如你是餐馆老板,平时生意火爆,但是有一个问题让你非常头痛,平时除了正常就餐的顾客,还有一部分喜欢吸烟的,这帮吸烟的人烟雾缭绕非常影响其他顾客就餐,也影响到了餐馆的正常运营。
这个时候你有几个办法:
1.直接和吸烟的人说你不要吸烟了。
但是吸烟的人都吸了这么多年了,怎么可能因为来你这吃饭就不吸了呢。
2.和城管说这里吸烟的人太多了,你能不能管一管。
但是吸烟又不犯法,城管拿他们也没办法。
3.那就只剩最后一个办法了,专门开一个吸烟区,让喜欢吸烟的人在里面爱咋吸咋吸,不影响餐馆正常运营。
2024-02-21 18:15
89
回复
makazeu
确实,现在哪个手机定制版Android不给主流app优化适配?2024-02-21 18:34
14
回复
狩魔冥检察官
适配和不适配两者会导致什么结果,孰轻孰重决定怎么做,适配了不是火绒用户根本不知道360和微软之间的事,不适配出问题用户肯定骂微软2024-02-21 18:57
Steven-Kerman
虽然但是,觉得操作系统适配具体程序是个很抽象的事情
操作系统不应该对于应用进行特定适配而是应用取使用系统API
后来想想win里面有系统级应用的广告代码也是很抽象的事情
总之就是各种难绷
2024-02-21 03:35
267
回复
新时代的引领者
多正常,国内安卓系统因为微信没push还给微信单独开自启动呢,让微信在后台喝电2024-02-21 07:25
88
回复
SkyFlywings
回复 @新时代的引领者 :最简单的一个问题,那个是预装软件。 Windows对于预装软件也有优化呀。 联想的品牌机上会直接装好多预装,第1次打开也是全新系统启动。2024-02-21 10:12
6
回复
古月开源
赞同,操作系统不应该惯着应用程序,但是一方面360耍流氓要劫持,一方面有用户投诉组件冲突,崩溃,为了生意又不能不处理。包括系统内置广告也是为了生意。即使是开源社区,有时也会为了金钱干难看的事。何况开源社区很多也是拿商业公司赞助,不过经过了转手,看上去没了罪恶罢了。我早就转到linux,非必要不会用win2024-02-21 04:24
30
回复
共53条回复, 点击查看
NO.
052953
一只豿疍呀
省流
微软:我预判360
360:我预判了微软的预判
火绒:我没预判到啊
15小时前
86
回复
共7条回复, 点击查看
caacobe
这件事有很大一个疑点,就是网友在那个视频发出来后仅用1天就逆向资源管理器得到了详情,而360就像视频里说的早就做了应急预案,那说明360早就知道了,难不成360的团队还不如民间大神连微软干了什么都逆向不出来?说明360发这个视频就是想用这个视频就是想先引导舆论风向,只是没想到反噬的这么这么快。
13小时前
14
回复
共1条回复, 点击查看
NO.
002969
xiaoyu不是小鱼
所以就是火绒的传统查杀病毒逻辑没适应360和微软的高端play
2024-02-21 09:50
56
回复
似水流年孤魂
火绒:都怪我咯?!!!11小时前
回复
共3条回复, 点击查看
NXY6666
我还是觉得无论如何,都不应该是微软去适配360,万一哪一天360脑子一热把搜索删了,微软是不是还得把这段代码删掉?最多发一封邮件给360说你的功能被破坏了,通知他们改一下就够了。
至于apple适配微信的那个案例,说实话留一个没用的symbol不删其实无所谓的,和微软主动去检测一个第三方软件有很大的区别。
2024-02-21 13:48
100
回复
TellesAutomatic
理论上是这样,但是我家老人也会因为flash被禁用而觉得是我故意不给他玩网页flash小游戏,给他们解释过是因为安全原因,现在的所有新系统都不支持flash了,但是这样也没用,人家就是一股脑怪你2024-02-21 14:01
35
回复
discord9
回复 @TellesAutomatic :现在flash小游戏只能用模拟器了比如ruffle比较方便2024-02-21 20:38
3
回复
和滴神啊
发邮件这个,工作中真的不要相信第三方,对同公司其他部门的邮件提醒改bug都能拖上月(因为用户报的不多),win10和360这种装机量哪个都不少,拖几天造成的闪退都会数以万计,己方能立即改掉肯定比通知第三方好2024-02-21 14:40
14
回复
共23条回复, 点击查看
普通鲤鱼王
哈哈当时看到原视频就觉得味不对,主要是观点不够中立,有在刻意往微软的过错引导的感觉,对于为什么针对360又避而不谈
12小时前
16
回复
建议直接下线评论功能
他52万粉丝的威力我已经领教过了11小时前
2
回复
阗闷
程序员跨语言如隔山,我的看法是epcidy可能确实没有完整逆向并分析那段代码的能力,当初他发那段视频的时候我也发现了一两个疑点,因为一般我们写代码,除非是临时使用才会直接在源码里写死特定目标,不然都会采用更“通用”的方法来获取目标,比如联网获取,配置文件获取等等。
2024-02-21 11:28
35
回复
阗闷
所以我认为epcidy可能用蹭流量嫌疑,但不一定人品不行。也有可能被当枪使。至于微软此次更新做了什么,我不够专业,看不出真相,只能吃瓜。我本身对微软、对epcidy都是有好感的。2024-02-21 11:33
14
回复
共6条回复, 点击查看
誓死保卫3000点
这是真的吗,倒是挺符合我对周鸿祎的印象的。
2024-02-21 16:20
21
回复
NO.
006512
拉莱耶的守梦人
盖茨是我国正而八经外籍院士,当年的win代码都给看了,可以说隔壁四幻神微软是唯一一个真心相待的,只能说当朋友比当敌人难。
2024-02-21 12:17
93
回复
UP主觉得很赞
FuryX
我差点忘了,人家有黄马褂,难怪不急2024-02-21 12:23
12
回复
狩魔冥检察官
刚才评论说国内出售的整机或者笔记本的出厂系统都是特供版,说明微软是有诚意配合的,但是说这特供版有监控我不信,似乎是少了部分功能和语言2024-02-21 13:00
6
回复
宅叔的数码世界
回复 @狩魔冥检察官 : 少部分功能和语言是因为预装的家庭版限制,品牌机oem版区别更多的是品牌方预装 如联想电脑管家,如果是政府采购那个网信版是另外一个东西。本身网信版不是面对家用和商用PC产品。2024-02-21 14:10
5
回复
共21条回复, 点击查看
NO.
005205
tdq-4381-1
feeds并不是单指广告,而是win11的小组件面板或者win10的咨询和兴趣面板里面的除了小组件所有东西都算feeds。非要说的话是新闻+广告?
2024-02-21 15:55
34
回复
FuryX
确实,我偶尔也点开看看2024-02-21 16:05
回复
tdq-4381-1
好像带联网功能的小组件也算feeds?看有人关了feeds后体育天气那些联网的小组件也挂了2024-02-21 17:55
2
回复
共3条回复, 点击查看
Bri11iant_Y
原视频里提到边亮是360的时候就觉得事情不简单
2024-02-21 14:35
42
回复
NO.
133739
Reverse0415
一句话,360的国内版本会对资源管理器程序中负责资讯那一块的组件进行劫持注入,但是这个操作会导致资源管理器出现冲突崩溃,为什么只检测CN地区,因为国际版360目前没有此操作。目前唯一迷惑的就是为何要改一个2085的时间戳
2024-02-21 06:47
236
回复
ARX-9
说人话:微软的reproducible build开发规范要求使用统一的2085年时间戳,以保证同样的源代码在所有设备和开发者手里编译出来的可执行文件都有相同的hash数值
更简单的讲:微软为了确保源代码编译一致性设定了这样的规范2024-02-21 09:40
121
回复
1drv-3
回复 @ARX-9 : 实际上并不是固定的2085年,而是把编译后文件的哈希填入,所以不同的文件日期不一样。2024-02-21 14:55
2
回复
1a1a386
很简单,“reproducible build”要求时间戳统一,但你在构建时也不能选择一个过去的时间戳,所以只能统一选择未来的某一个时间了2024-02-21 10:10
26
回复
共58条回复, 点击查看
TellesAutomatic
看到有人做视频喷就知道还没烂完,视频最后一段确实也跟我自己看法差不多。epc从ohm开发版那一期估计是掌握到流量密码了
2024-02-21 09:50
74
回复
wwwxiewww
我记忆优新的一次是他做了个“网速慢怎么回事”的视频,里面提到了开启upnp,申请公网ip等一系列事情,先不说这些事情跟网速有什么关系,但你建议的这些东西是不是有点太毒了,这是一位“网络安全”工作人员能提出的建议?21小时前
12
回复
TellesAutomatic
回复 @wwwxiewww :他是程序员,不是网安从业者14小时前
1
回复
TellesAutomatic
我突然想起这个up自己有一期视频还拉来了ms的人对话微软程序员,系统软件为何看似“低效”和“臃肿”?2024-02-21 14:57
6
回复
共7条回复, 点击查看
NO.
013151
玖月儿-狐九
可以的,终于有人出视频说了,今晚能好好睡觉了
2024-02-21 03:46
63
回复
UP主觉得很赞
FuryX
晚安2024-02-21 03:47
1
回复
共3条回复, 点击查看
木甲人
远离360,远离epcdiy,远离边亮,你的世界将多一片纯净和光明
2024-02-21 14:29
93
回复
玩过气游戏的
epcdiy其实不是360这边的,但也是一知半解就急于下结论2024-02-21 15:08
23
回复
木甲人
回复 @玩过气游戏的 :利益相关方2024-02-21 15:26
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~
