近期有不少 Win10 22H2 版本的使用者因更新 KB5034203、KB5034763 等補丁導致 Explorer.exe (資源管理器) 被火絨防毒軟體當病毒給殺了,火絨官方也表示:該問題已於 2024 年 1 月 12 日緊急升級病毒庫解決,為避免您遇到相同問題,請儘快升級火絨病毒庫版本。
如果你已經遇到此問題,火絨官方也給出瞭解決方法,就是利用 sfc 命令來恢復 Explorer.exe,並把資源管理器檔案加入火絨的白名單,具體說明和操作看官方教程:
- 火絨公告:https://bbs.huorong.cn/thread-136360-1-1.html
但實際上這次火絨誤殺 Explorer.exe 檔案,屬於完全躺搶,B站 @epcdiy 聯合 @邊亮_網路安全,發影片獨家解密火絨誤殺系統檔案背後的真相。
- 獨家解密影片:https://www.bilibili.com/video/BV1TA4m137zw
微軟更新的 KB5034203、KB5034763 等補丁同時更新了 Explorer.exe,在資源管理器裡面添加了針對中國地區的 360 安全衛士進行程序列舉,這才導致火絨會提示檢測到了 hijacking 病毒。
簡單理解就是微軟更新的 Explorer.exe 加入了監控程式碼,如果是中國地區 + 360 程序,那麼 Explorer.exe 時間戳設定成了 2085 年,導致火絨誤認為被植入了木馬,所以這波火絨背鍋了。
這意味著微軟更新的資源管理器程序夾帶私貨,並且這段程式碼是專門針對中國,如果地區是 CN 就會開啟 ETW 日誌,監控 360 軟體執行情況。
影片中還提到 @邊亮_網路安全提前發現了這個事情,在微軟推開更新之前,360 就增加了規則避免誤殺。
那麼微軟這麼做的動機是什麼?在知乎上有使用者@B166ER 表示 360 會殺掉 Windows 內建廣告彈窗,所以在 Explorer 中加入了反向劫持 360 的程式碼,以逃避廣告彈窗檢測。