出事了，360这个瓜有点大啊

有那么一件事情，这两天在互联网上吵得沸沸扬扬、人尽皆知。

想必经常关注机圈的机友，都有所耳闻——

「火绒黑屏事件」

事情是这样子的。

最近不少在Windows 10电脑安装了「火绒」的网友发现。

没有一点点防备，也没有一丝丝顾虑。

只因在Windows系统更新后，点击了一下「火绒」提示的病毒威胁查杀。

就像是打开潘多拉魔盒似的。

电脑屏幕上，就突然多出一张，能与我六号线吴彦祖相匹敌的帅脸。

具体为...

黑，那是真的黑啊。

眼瞅着不论是重启大法还是高级启动，都无法将熟悉的电脑界面给救回。

大家伙也只能将怒气，直接撒在了人畜无害的「火绒」身上。

“火绒，你看你都保护了啥！”

啊，虽然机哥给「火绒」用的修饰语是“人畜无害”。

但就今天发生这件事情来说。

网友，其实也没全骂错。

他们的爱机，之所以会悄无声息地进入黑屏，皆是因为「火绒」，把Windows的系统核心组件，资源管理器explorer.exe给当成病毒杀掉了…

考虑到不太了解电脑的机友。

可能不太能理解「火绒」杀掉explorer.exe，在电脑领域里是有多么严重的行为...

机哥这里，还是举几个例子好了。

简单来说。

「火绒」杀掉explorer.exe的行为，就无异于装修时砸了承重墙、一键还原时格式化了C盘、看小电影时拔了Wi-Fi、吃肠粉的时候没放豉油...

很离谱吧。

机哥也觉得很离谱。

这就像是古老的基因学中，对血亲伦理之间的忌讳。

按理说，这种涉及系统正常运行的核心程序，理应作为「白名单」处理。

而「火绒」，不仅没有跳过，居然直接把它全删光了...

如此“低级”的错误。

属实不像是「火绒」，这样一个安全杀毒软件的所作所为。

只见网友们纷纷开骂。

「火绒」也是很快啊。

就跳出来发布了道歉声明，并提供了相应的解决方案。

说是“解决方案”，但其实就是更新病毒库罢了。

并没有解释「火绒」为什么会把explorer.exe给一锅端掉。

难道这一切的一切。

真的就只是一场“美丽”的误会吗？

不知道大家怎么看待这件事的。

反正在专业人士眼里，事情，可能远没有这么简单。

是。

删除explorer.exe的是浓眉大眼的「火绒」不假。

但经B站UP主epcdiy和「360」安全工程师联合逆向分析发现。

最新版本的Windows资源管理器explorer.exe中，居然冷不丁出现了大量的「360安全卫士」进程，并且还对「360」的各种行为进行了枚举。

但不是全球统一的吼。

这操作，居然还是咱们国区的“独享”。

只要识别到咱们在国区，Windows就会自动通过日志的形式，记录「360」的种种行为，并伺机运行对策程序。

也就是说。

「火绒」真正要删的内容，是微软官方应对「360」的程序。

看到这，可能有的机友脑子就转不过弯来了：

“诶不对啊机哥，咱今天的主角不是「火绒」吗，怎么还把「360」给扯出来了呢？”

咳咳，你还别说。

系统文件虽然是「火绒」删的，但引发「火绒」一言不合删系统文件，引发今天这件事情的“罪魁祸首”啊。

还真就是「360」…

言归正传。

刚刚机哥不是说，微软会时刻检测「360」进程，并伺机运行一些程序吗？

而这个检测函数，也已经被大拿们扒了出来。

嗯，就是这个：

IsHijackingProcessRunning

其中。

“Is”意为“是否”。

“Hijacking”意为“劫持”，也就是在不知不觉之间，获取计算机的控制权，进而改变软件的行为。

而“Process”和“Running”的意思就hin简单了。

分别是“进程”和“运行”。

所以合起来的意思就是——

IsHijackingProcessRunning

劫持进程是否正在运行

其运行逻辑，跟我们小学三年级学过的「Excel」里的「IF」函数大同小异。

从网友们扒出的程序图中不难理解。

微软，是这样设定检测函数的——

如果检测到「360安全卫士」在explorer.exe里做出了有“备案”的篡改行为的话。

微软，就会自动关闭ShellFeedsCampaign。

反之则不然。

至于介个ShellFeedsCampaign，其实就是微软在自家状态栏上投放的天气、广告服务。

为什么微软要选择性禁用自家的广告呢。

因为微软发现，当自己和「360」的两个广告程序都在explorer.exe运行的时候，系统就会直接崩溃...

可能是深知一山不容二虎。

又或者是为了优先让系统运行。

反正微软呢，就决定自退一步，编写了上边的这个检测程序，一旦检测到是「360」这家伙在修改电脑的explorer.exe，就会自动让出空位给它。

这样一来。

Windows系统就不会产生冲突崩溃，自然，也就能继续正常使用啦~

微软它真的，我哭死。

可道理是这么一个道理。

但微软实现这个检测函数、日志记录的行为，却一点也不像来自大厂的风格。

你说，明明一个正儿八经的规避程序。

居然写得像个AvKiller木马病毒…

这波如果在大气层看的话，又何尝不像是一次大厂博弈时的阴谋、阳谋呢。

所以就技术层面来说，你又不得不佩服「360」人才济济。

据一位UP主所说，「360」老早就发现了微软在这个补丁包埋下的雷，在第一时间做好了“应急预案”，从而避免了「火绒」这样“误杀”的情况。

属于是巧妙避过了微软埋下的雷。

而“老实人”「火绒」，就没有参透微软的“良苦用心”。

于是就把微软这个程序当成了木马病毒，直接把整个explorer.exe都一锅端了。

「火绒」：最后受伤的只有我呗...

从本质上说。

今天发生这件事情，其实就是微软给「360」擦屁股，而「360」也知道微软在给它擦屁股，但旁观者「火绒」并不知道它俩在干啥。

只听到这个叫“explorer.exe”的厕所隔间里，有点奇奇怪怪的声音。

于是「火绒」一不做二不休，直接丢了个手榴弹进去...

结果把整个厕所炸了不说，就连普通用户都没法上厕所了。

有点好笑。

但事实就是如此。

那么，到底是谁错了呢。

从微软的角度来说，微软，只是为了保证系统的正常运行，做了兼容规避而已。

嗯，合理。

从「360」的角度来说，「360」，只是做了作为一款**软件，本就应该做的事情。

嗯，合理。

从「火绒」的角度来说，「火绒」，也只是在行使自己作为一款安全杀毒软件应该做的事情。

嗯，也是合理。

...

所以，到底是谁错了呢？

图片来自网络