explorer误杀

背景

2024.2.3 看雪社区成员发表文章 [讨论]火绒5.0.68.0残忍杀害本机explorer.exe

2024.2.18 火绒安全论坛官方发表公告 [产品公告] 关于近期explorer误报问题说明

当然还有B站 = =

从上述文章可以看出，火绒在 2024年1月12日 之前的旧版本，在windows10 22h2更新补丁（KB5034203、KB5034763等）后，存在误杀系统explorer.exe资源管理器文件的风险。

有些人应该是为了火绒剑保留老版安装包。

据悉，受影响的文件版本包括从3992-4161(当前最新)。

逆向分析

IsHijackingProcessRunning函数

返回上层函数CheckCampaignAvailability

返回上层函数RunFeedsCampaign

总之，就是检测360进程，如果存在，就关闭Feeds资讯和兴趣。Interesting