Stage1st

标题: 有个up找边亮科普了下前几天火绒误杀explorer.exe的原因 [打印本页]

作者: Sza 时间: 2024-2-20 12:54
标题: 有个up找边亮科普了下前几天火绒误杀explorer.exe的原因
本帖最后由 Sza 于 2024-2-21 10:22 编辑

标题是《独家解密火绒误杀win10系统文件背后的真相》，边亮是360公司网络安全专家
https://www.bilibili.com/video/BV1TA4m137zw/

首先火绒没把系统文件放白名单。其次微软近期的KB5034203、KB5034763等补丁会使资源管理器对中国地区的360安全卫士进行进程枚举，打点记录ETW日志。火绒把它当成反病毒木马处理了。

编辑：我上面的表述容易产生误解，16楼坛友的总结更加准确。

再次编辑：原视频已删，b站可能有人补档了。看楼里坛友的分析，以及知乎上的一些回答，微软这个操作可能是为了兼容360在任务栏的搜索窗口。

作者: 两个路人 时间: 2024-2-20 13:16
本帖最后由两个路人于 2024-2-20 13:25 编辑

720：水绒好兄弟！在中华大地上，就不能便宜了印度阿三，容忍其为非作歹！该杀！
水绒：小弟虽没读过书，但是肥水不流外人田的道理还是懂得的。他一个外来的，连大哥的山头都不来拜，属实天理难容（暴言

作者: zmw_831110 时间: 2024-2-20 13:23
前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊

是正好错开了么?

作者: 你知道我的 时间: 2024-2-20 13:29

zmw_831110 发表于 2024-2-20 13:23
前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊

你没安 360 吧，楼主说是系统文件扫描 360 的文件被当病毒了

作者: zmw_831110 时间: 2024-2-20 13:33

你知道我的发表于 2024-2-20 13:29
你没安 360 吧，楼主说是系统文件扫描 360 的文件被当病毒了

那的确是的

作者: Sza 时间: 2024-2-20 13:35

zmw_831110 发表于 2024-2-20 13:23
前几天,我win10也更新了啊
也装了火绒
但是没有看到火绒杀explorer.exe啊

不清楚，我也是装了火绒的win10 22h2，没遇到问题。之前我唯一一次火绒出问题还是和卡巴斯基同时安装导致的开机蓝屏，后来重装系统了。
总之按火绒在微博发的https://card.weibo.com/article/m/show/id/2309405002810675822934上的办法先更新下火绒再说。

作者: sirlion 时间: 2024-2-20 13:55
win内置了啥后门大家都门清,没有什么白莲花,这只是影响人正常使用了才爆出来,察觉不到的鬼知道有多少

作者: 你知道我的 时间: 2024-2-20 14:20

zmw_831110 发表于 2024-2-20 13:33
那的确是的

看了视频，和 360 没关系，单纯是微软的问题

作者: 小妻水亚美 时间: 2024-2-20 14:25

之前黑球群还有人发这个视频的预告，标题写的很弱智，但是这个up主水平很高，现在看确实是微软的小动作。

—— 来自 OPPO PGFM10, Android 14上的 S1Next-鹅版 v2.5.2

作者: Midnight.Coup 时间: 2024-2-20 14:25
为什么是旧版 Explorer 出事，难道就是旧版交给国内搞微软电脑管家的团队来维护了？

作者: Nanachi 时间: 2024-2-20 15:04

这人偷偷改了标题吧
(, 下载次数: 19)

作者: 瓦格雷 时间: 2024-2-20 15:17
一个安全软件把系统软件级别放的比流氓软件低??

作者: hein 时间: 2024-2-20 15:35
各大杀软默默的允许了explorer的行为XD

作者: Midnight.Coup 时间: 2024-2-20 15:43

hein 发表于 2024-2-20 15:35
各大杀软默默的允许了explorer的行为XD

毕竟这个 Explorer 没有被注入

官方耍流氓无解了

作者: 騜 时间: 2024-2-20 15:53
win10 ltsc版本16号自动更新就被火绒杀了，然后用了系统还原后禁用系统更新，火绒还是留他一命没卸载

作者: XXXEnetity 时间: 2024-2-20 15:55

瓦格雷发表于 2024-2-20 15:17
一个安全软件把系统软件级别放的比流氓软件低??

楼主没表达清楚，视屏中说的是新版win10的explorer.exe的行为很不对，例如时间戳是错误（2085年），针对中国用户对360软件进行进程枚举等等，这些行为很像Avkiller木马，火绒就把explorer进城当木马杀了。
说白了就是微软官方耍流氓被无感情的杀毒软件抓包，其他软件可能都习以为常早就把win系统文件设白名单了，但是火绒没设，所以出问题了。

作者: 好大一只绅士 时间: 2024-2-20 16:00
那win版本控制在哪个版本比较好啊

作者: hein 时间: 2024-2-20 16:04

XXXEnetity 发表于 2024-2-20 15:55
楼主没表达清楚，视屏中说的是新版win10的explorer.exe的行为很不对，例如时间戳是错误（2085年） ...

看到那个视频下面有个回复说政府单位都要求安装360，虽然我不懂，但是还是用围观群众心态，兴奋的点了赞XD

作者: 临界点 时间: 2024-2-20 16:11

hein 发表于 2024-2-20 16:04
看到那个视频下面有个回复说政府单位都要求安装360，虽然我不懂，但是还是用围观群众心态，兴奋的点了赞X ...

政府在网络安全这块确实一直跟360合作的之前好多起美国的网络攻击也是被它抓到了证据了技术肯定没问题就是民用软件这块太流氓

—— 来自 meizu 16s, Android 9上的 S1Next-鹅版 v2.5.4

作者: wuuuuuud 时间: 2024-2-20 16:12
如果有白名单，病毒有没有可能替换掉白名单里的软件躲过查杀。

作者: twy_2000 时间: 2024-2-20 16:15

wuuuuuud 发表于 2024-2-20 16:12
如果有白名单，病毒有没有可能替换掉白名单里的软件躲过查杀。

有签名的，签名无法被伪造也无法否认。估计其他杀软看到微软签名就放行了。

作者: macos 时间: 2024-2-20 16:17

临界点发表于 2024-2-20 16:11
政府在网络安全这块确实一直跟360合作的之前好多起美国的网络攻击也是被它抓到了证据了技术肯定没问题 ...

但政企线应该是奇安信吧，并不等同360

作者: zerocount 时间: 2024-2-20 16:41

hein 发表于 2024-2-20 15:35
各大杀软默默的允许了explorer的行为XD

官洲放火你敢吭声？
看到下场了吗？

作者: 小妻水亚美 时间: 2024-2-20 16:49

hein 发表于 2024-2-20 16:04
看到那个视频下面有个回复说政府单位都要求安装360，虽然我不懂，但是还是用围观群众心态，兴奋的点了赞X ...

政府单位倒也没指定360，就是单位里的电脑都要求装杀毒软件。

—— 来自 OPPO PGFM10, Android 14上的 S1Next-鹅版 v2.5.2

作者: zy450 时间: 2024-2-20 17:15
要求必须安装奇安信

作者: UNICORN00 时间: 2024-2-20 18:04
微软又搞小动作？

—— 来自 Xiaomi 22041211AC, Android 12上的 S1Next-鹅版 v2.5.4

作者: 被雨困住的城市 时间: 2024-2-20 18:16
提示: 作者被禁止或删除内容自动屏蔽

作者: noarch 时间: 2024-2-20 18:21
那么卡巴斯基呢

作者: aritionkb 时间: 2024-2-20 18:42
偷群友的分析

逆向看了逻辑了：
如果设备不在欧盟地区，且设备没有加入域控，且地区是中国，则枚举系统进程；
如果存在进程名为 360 四个典型进程名之一的进程，则无条件禁用自己的通知栏 feed 功能，无论用户是否设置开启。

背景知识：
360 会在通知栏使用非标准 api 自绘一堆设备电量之类的小控件

我的看法：
估计是 360 自绘的破玩意和 explorer 的 feed 绘制冲突了，微软这是在特地兼容 360

— from meizu MEIZU 20 Pro, Android 13 of S1 Next Goose v2.5.2-play

作者: Midnight.Coup 时间: 2024-2-20 18:54

aritionkb 发表于 2024-2-20 18:42
偷群友的分析

逆向看了逻辑了：

有道理，Explorer 还有任务栏的功能，Win11 是新写的任务栏所以只有 Win10 的存在问题

作者: Midnight.Coup 时间: 2024-2-20 18:59
视频已被 Up 主删除

作者: posthoc 时间: 2024-2-20 19:10
这也过于dirty hack了，是实习生搞的么…

作者: SinoWarrior 时间: 2024-2-20 20:57
(, 下载次数: 18)

作者: dvd6 时间: 2024-2-20 21:16

aritionkb 发表于 2024-2-20 18:42
偷群友的分析

逆向看了逻辑了：

如果是这样，结合16楼的视频内容摘要，那就太喜剧了

作者: 绯田美琴 时间: 2024-2-20 21:51
草，ShellFeedsDMAHelpers::IsDeviceInDmaRegion这个是Designated Market Area吗，是欧盟地区？我之前看的时候还在想为啥要判断DMA设备

主要逻辑就在ShellFeedsCampaignHelper::CheckCampaignAvailability这里面，主要是检查活动是否可用？不了解Feeds组件是干啥的，反正一顿IsFeedsAvailable、IsDeviceInDmaRegion、IsInCampaignEnabledRegion、IsEnterpriseDevice，判断了一堆Feeds可用性、地区，然后特地拉出来一个IsHijackingProcessRunning判断360的进程，硬编码写里面还是太搞了

作者: chronicle 时间: 2024-2-20 22:22
这个视频的边亮就是360的工程师，套个民族大义的帽子忽悠人呢。如果微软的后门做的如此粗糙，太几把草台了

作者: seasonsfx 时间: 2024-2-20 23:41
狗p微软坑我熬夜修电脑

—— 来自 HUAWEI OCE-AN10, Android 12上的 S1Next-鹅版 v2.5.2-play

作者: Gazzz 时间: 2024-2-21 01:08

XXXEnetity 发表于 2024-2-20 15:55
楼主没表达清楚，视屏中说的是新版win10的explorer.exe的行为很不对，例如时间戳是错误（2085年） ...

One of the fields in the Portable Executable (PE) header is called TimeDateStamp. It’s a 32-bit value representing the time the file was created, in the form of seconds since January 1, 1970 UTC. But starting in Windows 10, those timestamps are all nonsense. If you look at the timestamps of various files, you’ll see that they appear to be random numbers, completely unrelated to any timestamp. What’s going on?

One of the changes to the Windows engineering system begun in Windows 10 is the move toward reproducible builds. This means that if you start with the exact same source code, then you should finish with the exact same binary code.

时间戳那个明显尬黑了，可重复构建这个事儿软子和各个包管理器的人都在推，不是很新鲜的事儿了
https://devblogs.microsoft.com/oldnewthing/20180103-00/?p=97705

作者: noahhhh 时间: 2024-2-21 07:50
看来是贼喊捉贼。

—— 来自 S1Fun

作者: 归蝶 时间: 2024-2-21 08:05

绯田美琴发表于 2024-2-20 21:51
草，ShellFeedsDMAHelpers::IsDeviceInDmaRegion这个是Designated Market Area吗，是欧盟地区？我之前看的 ...

DMA是 Digital Markets Act，就是前两天那个迫使苹果开放iPhone应用市场的欧盟法律

作者: 奥古斯都 时间: 2024-2-21 09:04
微软滚出cn😡,天佑360os😆.

作者: hetdff 时间: 2024-2-21 09:09
本帖最后由 hetdff 于 2024-2-21 09:10 编辑

Gazzz 发表于 2024-2-21 01:08
时间戳那个明显尬黑了，可重复构建这个事儿软子和各个包管理器的人都在推，不是很新鲜的事儿了
https:/ ...

explorer又不开源，谁去监督他是不是可重复？

作者: leafleaf 时间: 2024-2-21 10:14
贼喊捉贼真是难崩

—— 来自 Sony XQ-AT52, Android 14上的 S1Next-鹅版 v2.5.4

作者: leafleaf 时间: 2024-2-21 10:26
帮别人修电脑的时候也没少看到在用360，我还想是不是我对360偏见太深，现在看还是彻底拉黑吧

—— 来自 Sony XQ-AT52, Android 14上的 S1Next-鹅版 v2.5.4

作者: sephal 时间: 2024-2-21 10:28
也就是说微软不仅不是在针对打压360，反而是在给垃圾360擦屁股

然后因为这个行为反而被半吊子火绒识别为木马

作者: pigbayspy 时间: 2024-2-21 10:28

绯田美琴发表于 2024-2-20 21:51
草，ShellFeedsDMAHelpers::IsDeviceInDmaRegion这个是Designated Market Area吗，是欧盟地区？我之前看的 ...

feeds组件就是微软在任务栏上显示的那个“资讯与兴趣”

—— 来自 HONOR ALI-AN00, Android 13上的 S1Next-鹅版 v2.5.4

作者: danman 时间: 2024-2-21 10:37
反转又反转后，除了说明360狗改不了吃屎，火绒这次重大事故责任人坐实了没有？

作者: baicon 时间: 2024-2-21 10:38
说句题外话：听360讲安全-难崩

作者: Benighted 时间: 2024-2-21 10:55

360这事情让我想起了早期的Windows，访问已经释放过的内存不会稳定崩溃，结果微软修了这个bug 之后，模拟人生崩溃了。后来Windows只能给模拟人生特别保留这个bug。就像explorer为了不因为被360瞎即把注入搞崩溃只能检测到就不跑新功能一样。结果360好意思贼喊抓贼，**当久了都以为自己无辜了🤪

作者: 小妻水亚美 时间: 2024-2-21 10:58

看epcdiy动态最新动态的评论按时间排有点翻车的感觉了

—— 来自 OPPO PGFM10, Android 14上的 S1Next-鹅版 v2.5.2

作者: Benighted 时间: 2024-2-21 11:00

danman 发表于 2024-2-21 10:37
反转又反转后，除了说明360狗改不了吃屎，火绒这次重大事故责任人坐实了没有？ ...

火绒自己也没充分测试新版本，草台了

作者: Cybellybanana 时间: 2024-2-21 11:07

aritionkb 发表于 2024-2-20 18:42
偷群友的分析

逆向看了逻辑了：

非常好奇是什么超能力者群，想学习一下

作者: chronicle 时间: 2024-2-21 11:10

小妻水亚美发表于 2024-2-21 10:58
看epcdiy动态最新动态的评论按时间排有点翻车的感觉了

—— 来自 OPPO PGFM10, Android 14上的 S1N ...

要么坏，为了流量赚眼球，要么蠢，被360当枪使了

作者: zxdrtyhn 时间: 2024-2-21 11:26
文案是边亮给的，看来确实是当枪使了

世界丿凌晨
360劫持微软explorer资讯替换成自己广告，微软发现360劫持explorer资讯会导致explorer崩溃，所以做了个反向兼容检测，遇到360劫持就关了资讯功能防止崩溃。
然而这个这个兼容补丁的行为（注：前面的大佬都分析过了我就不再赘述）与专门和杀软对抗的病毒行为类似。
火绒杀毒此时不知道微软会去给360擦屁股（老实人微软笑），主动防御也不管你叫啥你从哪来，只要行为符合病毒特征就杀。
最后安安静静干活的火绒被不明所以的用户冤枉是系统杀手，问题源头360开始洗白甩锅，请@epcdiy 做视频诱导舆论攻击微软。（360真是拔X无情啊）

作者: Nanachi 时间: 2024-2-21 11:36

hetdff 发表于 2024-2-21 09:09
explorer又不开源，谁去监督他是不是可重复？

Windows也没开源，真担心微软确实应该换成Linux吧

作者: hein 时间: 2024-2-21 11:38

zxdrtyhn 发表于 2024-2-21 11:26
文案是边亮给的，看来确实是当枪使了

我就好奇了，凭什么win要兼容360，是360帮ms写了windows自家的流氓管家还是定制了中国版edge呢XD

作者: hetdff 时间: 2024-2-21 11:39

Nanachi 发表于 2024-2-21 11:36
Windows也没开源，真担心微软确实应该换成Linux吧

是的。我回的那贴说可重复构建当理由，但是这不是不成立吗

作者: litel 时间: 2024-2-21 11:39

zxdrtyhn 发表于 2024-2-21 11:26
文案是边亮给的，看来确实是当枪使了

要么坏，为了流量赚眼球，要么蠢，被360当枪使了+1

作者: l3r0nY@ 时间: 2024-2-21 11:40

归蝶发表于 2024-2-21 08:05
DMA是 Digital Markets Act，就是前两天那个迫使苹果开放iPhone应用市场的欧盟法律 ...

原来如此...这缩写也太多了

—— 来自 OnePlus IN2020, Android 11上的 S1Next-鹅版 v2.5.4

作者: chronicle 时间: 2024-2-21 11:43

hein 发表于 2024-2-21 11:38
我就好奇了，凭什么win要兼容360，是360帮ms写了windows自家的流氓管家还是定制了中国版edge呢XD ...

政府单位指定杀软，如果把explorer搞崩了，影响太大。最后，这锅横竖还是ms背，还不如早点跪了。

我更好奇的是360搞这一出是干什么，难道自己要上自研系统了？

作者: 白日依山尽 时间: 2024-2-21 11:46
看epcdiy在反驳他的视频下面切割了。

作者: Sza 时间: 2024-2-21 11:53

白日依山尽发表于 2024-2-21 11:46
看epcdiy在反驳他的视频下面切割了。

是不是在这个视频的评论区里？《完整分析才知道“火绒误杀win10系统文件背后的真相”背后的真相》https://www.bilibili.com/video/BV1At421h7zd/
(, 下载次数: 63)

作者: nanonya2 时间: 2024-2-21 11:56

chronicle 发表于 2024-2-21 11:43
政府单位指定杀软，如果把explorer搞崩了，影响太大。最后，这锅横竖还是ms背，还不如早点跪了。

我更好 ...

360一直都在任务栏放自己的东西吧
知乎有人贴了测试版还没检测360时的截图，360塞入的搜索栏会和任务栏原有的图标重叠

作者: sirlion 时间: 2024-2-21 12:17

nanonya2 发表于 2024-2-21 11:56
360一直都在任务栏放自己的东西吧
知乎有人贴了测试版还没检测360时的截图，360塞入的搜索栏会和任务栏原 ...

越来越离谱，仅仅因为一个图标错位功能，还是360的锅，微软选择了自己主动放弃原则帮360反向兼容，还用了类似木马一样的行为逻辑来实现

阿三已经堕落成这样了吗？360更新一下不就一个版本的事情，能联网装你这个explorer的补丁自然能更新360

微软的技术力真的是越来越fw了啊

作者: noahhhh 时间: 2024-2-21 12:24

sirlion 发表于 2024-2-21 12:17
越来越离谱，仅仅因为一个图标错位功能，还是360的锅，微软选择了自己主动放弃原则帮360反向兼容，还用了 ...

手机系统主动兼容微信呢，更多原因是Windows 11没这个问题，程序员偷懒解决

作者: posthoc 时间: 2024-2-21 12:28

sirlion 发表于 2024-2-20 20:17
越来越离谱，仅仅因为一个图标错位功能，还是360的锅，微软选择了自己主动放弃原则帮360反向兼容，还用了 ...

这个感觉多半是本地化团队的手笔，阿三才不会在乎360如何吧。

作者: posthoc 时间: 2024-2-21 12:38

hein 发表于 2024-2-20 19:38
我就好奇了，凭什么win要兼容360，是360帮ms写了windows自家的流氓管家还是定制了中国版edge呢XD ...

可能360那边不好沟通或者无意改变吧，苹果那边也为微信保留了擦屁股代码，毕竟出了问题大部分用户只会问责操作系统，国产软件们是有恃无恐的。

作者: 轻巡羊舰 时间: 2024-2-21 12:39
要你这逻辑都不用更新360，自己把feed关了也能避免嘛，话不是这么说的，当时做的是糙了点

但再糙也是擦屁股，这怪擦屁股的人多少没啥道理

论坛助手,iPhone

作者: wpwing 时间: 2024-2-21 12:45
我重装系统了，原来是这个原因…

-- 来自能搜索的 Stage1官方 Android客户端

作者: zerocount 时间: 2024-2-21 12:52

chronicle 发表于 2024-2-21 11:43
政府单位指定杀软，如果把explorer搞崩了，影响太大。最后，这锅横竖还是ms背，还不如早点跪了。

我更好 ...

微软跟360是战略伙伴关系吗？为什么要给单独一个厂家的软件擦屁股？

微软给zf部门做的系统不是定制的吗？起码360的杀软是定制的，跟市面上个人版本完全不同。

作者: 鹅大人 时间: 2024-2-21 12:55

zerocount 发表于 2024-2-21 12:52
微软跟360是战略伙伴关系吗？为什么要给单独一个厂家的软件擦屁股？

国内zf部门xp到11啥系统都有，最近还在推国产os。微软也控制不了吧。

作者: hxy8241 时间: 2024-2-21 12:57

sirlion 发表于 2024-2-21 12:17
越来越离谱，仅仅因为一个图标错位功能，还是360的锅，微软选择了自己主动放弃原则帮360反向兼容，还用了 ...

不只是更新的问题，如果用户的360一直不更新，微软就不能更新了。还有广告的问题，微软也是想要放广告，哪怕你装了360不运行这个开关也不会关。不然不检测进程只看安装的软件也不会这么像病毒了。

—— 来自 S1Fun

作者: 忘归然 时间: 2024-2-21 13:15
提示: 作者被禁止或删除内容自动屏蔽

作者: weiyang 时间: 2024-2-21 13:27
巨硬原来这么软的吗

作者: Processed 时间: 2024-2-21 13:30

weiyang 发表于 2024-2-21 13:27
巨硬原来这么软的吗

毕竟弱势群体

有问题不更新，挨骂

更新了用户没装，挨骂

用户装了但是因为其他家软件抽风出毛病，还是挨骂

作者: nanonya2 时间: 2024-2-21 13:35

zerocount 发表于 2024-2-21 12:52
微软跟360是战略伙伴关系吗？为什么要给单独一个厂家的软件擦屁股？

微软给第三方擦屁股的可太多了，前面也有人说了给特定版本模拟人生保留bug的事情
政府定制版Windows 10是由国内的公司维护和运营的，不是微软直接提供，版本也是跟长期支持版走

作者: noahhhh 时间: 2024-2-21 13:36

posthoc 发表于 2024-2-21 12:28
这个感觉多半是本地化团队的手笔，阿三才不会在乎360如何吧。

大范围发布的补丁本地化团队没这权限吧，至少也要总部做code review才能改

—— 来自 S1Fun

作者: nanonya2 时间: 2024-2-21 13:37

sirlion 发表于 2024-2-21 12:17
越来越离谱，仅仅因为一个图标错位功能，还是360的锅，微软选择了自己主动放弃原则帮360反向兼容，还用了 ...

其实就是在地区设定为中国时检查一下360有没有在运行，就被火绒判定为木马的行为逻辑了

作者: dvd6 时间: 2024-2-21 14:41
好了好了，不管微软有没有错，也不影响360是shi的事实

作者: 無始無終 时间: 2024-2-21 14:49
感觉不是epcdiy第一次翻车了吧，他之前的视频就经常讲的不清不楚的，只是以前没闹这么大。
我前几年还关注了他来着，去年取关了。

—— 来自 Xiaomi 23054RA19C, Android 13上的 S1Next-鹅版 v2.5.4

作者: Ichthy 时间: 2024-2-21 16:25
提示: 作者被禁止或删除内容自动屏蔽

作者: zxdrtyhn 时间: 2024-2-21 17:01
本帖最后由 zxdrtyhn 于 2024-2-21 17:02 编辑

-LLAP- :强烈建议再更新一期澄清视频，哪怕就是把现有的事实列出来也好。全程看下来这个事挺荒诞的，始作俑者倒打一耙让微软背锅真不太好。epcdiy 回复 @-LLAP- : 有这个考虑，感觉我被坑了
5小时前

还是有自知之明

作者: mz789p 时间: 2024-2-21 17:14
360注入的锅

论坛助手,iPhone

作者: dvd6 时间: 2024-2-21 17:19
本帖最后由 dvd6 于 2024-2-21 17:26 编辑

zxdrtyhn 发表于 2024-2-21 17:01
还是有自知之明

有自知之明的人会不知道360什么尿性吗

＝＝＝＝＝＝＝

看epcdiy动态评论越来越欢乐了
(, 下载次数: 38)

作者: 七草真由美 时间: 2024-2-21 17:39
怎么还有害人重装系统的，看来影响挺大的。这玩意是不是不装360就不会触发？

—— 来自 HONOR PGT-AN00, Android 14上的 S1Next-鹅版 v2.5.4

作者: 萱时令 时间: 2024-2-21 17:46
哈哈
微软给软件擦屁股：木马流氓
微软不给软件擦屁股：瞎更新，一更新xxx就用不了

作者: lawsherman 时间: 2024-2-21 18:25

七草真由美发表于 2024-2-21 17:39
怎么还有害人重装系统的，看来影响挺大的。这玩意是不是不装360就不会触发？

—— 来自 HONOR PGT-AN00, A ...

搞出黑屏的是火绒

火绒杀explorer进程的原因是explorer有疑似病毒行为
有病毒行为的原因是要兼容360
————————
不更新windows补丁，或者没装火绒的没事

作者: hein 时间: 2024-2-21 18:28

dvd6 发表于 2024-2-21 17:19
有自知之明的人会不知道360什么尿性吗

＝＝＝＝＝＝＝

看懂了，耍流氓耍不过360，只能认怂

我记得我还发过贴骂微软这**搜索条。
https://bbs.saraba1st.com/2b/thread-2160337-1-1.html

我觉得这个锅给微软背没毛病

作者: bubuyu 时间: 2024-2-21 18:41
最开始那个人是360的，这算是贼喊捉贼先发制人吗

作者: calmer 时间: 2024-2-21 19:19
epcdiy感觉是玩文曲星时代的老年人

—— 来自 Xiaomi 22041211AC, Android 13上的 S1Next-鹅版 v2.5.2-play

作者: 谭浩强 时间: 2024-2-21 19:37
想知道怎么让这个IsDeviceInDmaRegion认为系统属于欧盟Digital Markets Act Region？改语言改ip还是下欧盟版windows？

作者: fireandstar 时间: 2024-2-21 21:46

忘归然发表于 2024-2-21 13:15
这也能怪微软？系统崩了用户只会喷微软，指望一个流氓公司管控自己的流氓行为？看看微信满地拉屎，一众手 ...

删explore最开始几天骂火绒的可不少，直到那个视频发出来风向才转向骂微软吧

作者: beckuse 时间: 2024-2-22 01:18
本帖最后由 beckuse 于 2024-2-22 09:17 编辑

颠倒黑白，贼喊捉贼，攻击炒作，确实是360会干的事

—— 来自 Xiaomi 2210132C, Android 13上的 S1Next-鹅版 v2.5.4

作者: nekomimimode 时间: 2024-2-22 01:57
地头蛇是这样的

作者: yaoyiqun513 时间: 2024-2-22 09:26
微软深谙强龙不压地头蛇的道理呀

作者: 忘归然 时间: 2024-2-22 10:15
提示: 作者被禁止或删除内容自动屏蔽

作者: baicon 时间: 2024-2-22 11:23

忘归然发表于 2024-2-22 10:15
这楼里前面骂微软的可不少，怎么看都奇怪。还有阴阳微软搞后门的。

—— 来自 S1Fun ...

不是挺好的，对不讲事实急着露屁股的，正好丰富黑名单。

作者: Sza 时间: 2024-2-22 11:37
本帖最后由 Sza 于 2024-2-22 11:39 编辑

谭浩强发表于 2024-2-21 19:37
想知道怎么让这个IsDeviceInDmaRegion认为系统属于欧盟Digital Markets Act Region？改语言改ip还是下欧盟 ...

我不懂代码。为了回你这个问题特地按知乎Henryzhao的回答https://www.zhihu.com/question/642107690/answer/3402581666 提供的工具看了下explorer.exe的代码。简而言之，我按函数名猜可能是看“设置-时间和语言-区域-国家或地区“”的。

我贴下反编译后的代码：
下面这段是ShellFeedsDMAHelpers::IsDeviceInDmaRegion(uchar *)的

__int64 __fastcall ShellFeedsDMAHelpers::IsDeviceInDmaRegion(
ShellFeedsDMAHelpers *this,
unsigned __int8 *a2,
unsigned int *a3)
{
unsigned __int8 *v4; // rdx
int ShellFeedsRegKey; // ebx
unsigned int v6; // r8d
unsigned int v7; // r9d
int v9; // [rsp+20h] [rbp-8h]
wil::details::in1diag3 *retaddr; // [rsp+28h] [rbp+0h]
unsigned __int8 v11; // [rsp+38h] [rbp+10h] BYREF
int Data; // [rsp+40h] [rbp+18h] BYREF
Data = 0;
ShellFeedsRegKey = ShellFeedsRegistryHelper::GetShellFeedsRegKey(L"IsDeviceInDmaRegion", (LPBYTE)&Data, a3);
if ( ShellFeedsRegKey == -2147024894 )
{
v11 = 0;
ShellFeedsRegKey = ShellFeedsDMAHelpers::GetDeviceDMAStatusInternal((ShellFeedsDMAHelpers *)&v11, v4);
if ( ShellFeedsRegKey < 0 )
{
LABEL_5:
wil::details::in1diag3::Return_Hr(
retaddr,
(void *)0x3E,
(unsigned int)"internal\\shellcommonshell\\inc\\ShellFeeds\\ShellFeedsDMAHelpers.h",
(const char *)(unsigned int)ShellFeedsRegKey,
v9);
return (unsigned int)ShellFeedsRegKey;
}
Data = v11;
ShellFeedsRegistryHelper::SetShellFeedsRegKey(L"IsDeviceInDmaRegion", (const unsigned __int16 *)v11, v6, v7);
}
if ( ShellFeedsRegKey < 0 )
goto LABEL_5;
*(_BYTE *)this = Data;
return 0LL;
}

复制代码

下面这段是ShellFeedsDMAHelpers::GetDeviceDMAStatusInternal(uchar *)的

__int64 __fastcall ShellFeedsDMAHelpers::GetDeviceDMAStatusInternal(ShellFeedsDMAHelpers *this, unsigned __int8 *a2)
{
unsigned int v3; // ebx
__int64 v4; // rcx
int v5; // eax
int *v7; // [rsp+20h] [rbp-20h] BYREF
int v8[4]; // [rsp+28h] [rbp-18h] BYREF
v3 = 0;
if ( (unsigned __int8)wil::details::FeatureImpl<__WilFeatureTraits_Feature_IntegratedServicesPolicyControl>::__private_IsEnabled(
&`wil::Feature<__WilFeatureTraits_Feature_IntegratedServicesPolicyControl>::GetImpl'::`2'::impl,
a2) )
{
v8[0] = 996156123;
v7 = v8;
v8[1] = 1263197949;
v8[2] = 73453494;
v8[3] = 1014982109;
v5 = winrt::impl::factory_cache_entry<winrt::Windows::Internal::System::Profile::RegionPolicyEvaluator,winrt::Windows::Internal::System::Profile::IRegionPolicyEvaluatorStatics>::call<_lambda_6a0f056e3d320019bdc01414d2a02aac_ &>(
v4,
&v7);
if ( v5 < 0 )
return (unsigned int)-2147418113;
if ( v5 <= 1 )
{
*(_BYTE *)this = 0;
return v3;
}
if ( v5 != 2 )
return (unsigned int)-2147418113;
*(_BYTE *)this = 1;
}
return v3;
}

复制代码

作者: hagane 时间: 2024-2-22 11:39
有结论了吗
我是停了update+只装火绒+弹窗
360几百年没装了
没遇到过这个explore重载问题

作者: souseiseki 时间: 2024-2-22 11:40

baicon 发表于 2024-2-22 11:23
不是挺好的，对不讲事实急着露屁股的，正好丰富黑名单。

才发现第一页好几个早就在黑名单了

欢迎光临 Stage1st (https://www.saraba1st.com/2b/)