独家解密火绒误杀 win10 系统文件(explorer.exe)背后的真相 [安全专家 边亮 的频道视频]

@fs418082760 他都逆向了怎么可能不知道

@zaizaizai2333 #6 逆向吧 https://file.io/8RsGV1Ld5qmj

@YGBlvcAK #14
火绒对系统关键文件似乎没有特殊处理，而是直接隔离，很可能说明火绒对系统文件被蠕虫病毒感染的场景没有做好预案，火绒的锅还是大的

这个视频符合我对 epcdiy 以及他的粉丝的刻板认识

年前中枪了，恢复后系统工具栏无法使用，重装系统中...

@showgood163
@minami
@fs418082760 原视频说了，好像是检测到 360 后打 log 。

@e2k 原视频提供的文件在 https://pan.baidu.com/s/1fSxqq3yvDbE2hIVOUsI7Ew?pwd=8qfj 确实有 MD5 (215220ed492ed274f41129d33a2df72d_explorer.exe) = 215220ed492ed274f41129d33a2df72d

中午看了视频，挺乐的，跟前面想法一样“微软为何独宠 360”希望有后续。

那个 PE 格式的时间戳因为要保证相同代码构建出来的二进制文件完全一致，已经改成了随机的 hash 了。这个机制的官方名称叫 reproducible builds ，视频评论区也有人提到，我个人不太相信搞安全的人不懂这种机制。
https://devblogs.microsoft.com/oldnewthing/20180103-00/?p=97705

伪科普有毒, 少看

@ysc3839 搞错了，发现这个 up 主是 epcdiy ，不是搞安全的，应该不太懂。

不过举的著名例子挺有意思，NSA 的攻击软件的 timestamp 是伪造的，远远早于其标注的平台 amd64 的问世时间，暴露了自己。

@zaizaizai2333 边亮作为共同创作视频的人，按理说有审稿责任吧。

我安装完 win10 第一件事, 就是干掉 windows 自动更新.

翻了下 commit ，挺乐的一件事，官方出解释之前不好讲。不过和什么偷数据间谍没啥关系。还是因为 360 对 explorer.exe 的魔改导致的。但总结起来是一个巴掌拍不响。Microsoft 在这个改动上也不是什么好东西

「操作系统应该是中立的」

我觉得浏览器也应该是中立的…不应该主动屏蔽任何域名、网站 🤣

@minami 逆向只知道他做了什么操作，怎么知道他是什么目的？

@peachpeach 这个怎么实现的

@ETiV 手机系统给微信加白差不多都是标准操作了。。

@showgood163 其实可以反过来想想嘛
1. 如果时间戳字段不是 reproducible build ，而就是普通时间戳，“作恶”的人为什么要填个 60 年后的时间，提前暴露自己？
2. 为什么只检测 360 杀毒？“作恶”的人真要逃避杀软，那么金山系是吃软饭的？腾讯系是吃软饭的？预装怪物卖咖啡是吃软饭的？喔，对，还有主角火绒也是吃软饭的？

话说之前三星输入法的那个视频是他们不？

@ETiV 浏览器是中立的，监管部门不是中立的啊🤣