火绒杀毒软件误杀 Win10 系统文件背后的真相

近期有不少 Win10 22H2 版本的用户因更新 KB5034203、KB5034763 等补丁导致 Explorer.exe (资源管理器) 被火绒杀毒软件当病毒给杀了，火绒官方也表示：该问题已于 2024 年 1 月 12 日紧急升级病毒库解决，为避免您遇到相同问题，请尽快升级火绒病毒库版本。

如果你已经遇到此问题，火绒官方也给出了解决方法，就是利用 sfc 命令来恢复 Explorer.exe，并把资源管理器文件加入火绒的白名单，具体说明和操作看官方教程：

• 火绒公告：https://bbs.huorong.cn/thread-136360-1-1.html

但实际上这次火绒误杀 Explorer.exe 文件，属于完全躺抢，B站 @epcdiy 联合 @边亮_网络安全，发视频独家解密火绒误杀系统文件背后的真相。

• 独家解密视频：https://www.bilibili.com/video/BV1TA4m137zw

微软更新的 KB5034203、KB5034763 等补丁同时更新了 Explorer.exe，在资源管理器里面添加了针对中国地区的 360 安全卫士进行进程枚举，这才导致火绒会提示检测到了 hijacking 病毒。

简单理解就是微软更新的 Explorer.exe 加入了监控代码，如果是中国地区 + 360 进程，那么 Explorer.exe 时间戳设置成了 2085 年，导致火绒误认为被植入了木马，所以这波火绒背锅了。

这意味着微软更新的资源管理器进程夹带私货，并且这段代码是专门针对中国，如果地区是 CN 就会打开 ETW 日志，监控 360 软件运行情况。

视频中还提到 @边亮_网络安全提前发现了这个事情，在微软推开更新之前，360 就增加了规则避免误杀。

那么微软这么做的动机是什么？在知乎上有用户@B166ER 表示 360 会杀掉 Windows 内置广告弹窗，所以在 Explorer 中加入了反向劫持 360 的代码，以逃避广告弹窗检测。