独家解密火绒误杀 win10 系统文件(explorer.exe)背后的真相 [安全专家 边亮 的频道视频]

边亮提前发现了这个事情，在微软推开更新之前，360 就增加了规则避免误杀。火绒没有发现，躺枪。

监控 region 设置为中国。。。。
呵呵呵呵，多少和不让用 AI 有点点关系吧

我好奇，微软为何独宠 360 ，把 360 加入监控？

微软为了监控 360 特意在更新中加了规则，360 在更新前识别规则并避免。

好啊

微软“本地化”做得不错

谁有这个 KB5034203 的 explorer.exe ，上传上来，大家逆向看看。

视频里面被分析的文件名是 215220ed492ed274f41129d33a2df72d_explorer.exe 估计前面就是 MD5 值。

好奇 360 如何规避的

@xiaozhubin
@InDom 估计逆向看代码，仔细分析就知道为什么了。不过时间戳为什么呢？

@cuit4017 估计很简单，就添加了一个规则，把识别出来可能是 AVKiller 的 explorer.exe ，再分析一下是不是这次更新的变化，是的话，就白名单不杀毒。

为啥 explorer.exe 要检测 360 的几个进程？检测之后具体做了什么？

视频里没回答这个问题

这个视频实际上故意话只说了一半，我稍微看了下就有疑问：1 、微软此举的目的到底是什么，视频里完全没有提及，只是一味往木马上靠，总不能监听 360 进程后啥也没干，就打个日志？； 2 、360 既然早就知道了，为什么不公开？逻辑上完全说不通，除非 360 自己非常清楚原因。反正看完这个视频，我只觉得是来带节奏的，并不是来公开真相的

我说我这几天为什么 explorer 怎么一直崩溃重启…还想着 Win11 是不是又该重装了…我还寻思我 Win10 用了好几年也没怎么重装过，这 Win11 怎么这么弱。

被火绒杀掉的 explorer.exe https://f.ws59.cn/f/dfxf9n0nted

草，这是错怪火绒了，不过好在我装完 win10 ltsc 就把自动更新给灭了，哈哈

@minami #11 2 种可能，1.360 作恶，做到微软恶心到受不了 放弃中立地位下场绕过 2.ZZ 原因，360 技术牛 B ，微软针对他 具体中间原因他肯定也不会知道啊。你猜？

视频评论里有这样的解释：


```

闭口不谈 360 对 explorer 干了些什么是吧（
ida 分析看了下是资源管理器主动检查 360 进程是否运行 是的话就不会启动资讯和兴趣功能 盲猜是和 360 注入 explorer 导致妙妙的不兼容有关系
火绒报毒是因为这个检测行为很像 avkiller 就是

```

期待更多的人提供自己的检测结果

360 这些年一直在和 gov 合作，不然为啥被美国加了制裁名单，微软针对 360 多半也是 zz 原因

@minami 个人猜测微软的目的和这个文章相关 https://www.youxia.org/2024/02/113352.html (注意有个阻止没有写明国家, 但英文版中是有的)
如果真得有关, 那确实不好说太细

火绒很勇啊，带着微软签名都要杀一遍