关于火绒误报explorer的版本追溯及可能的特征

该用户不存在

经测试 可以追溯到火绒5.0内测外泄（病毒库时间2019.05.06）
本来到这里 是证实了@www. 在qq群发的火绒在2019年就有相关特征的消息 我本来也是打算就停止了

但是 在好奇心的驱使下 我没想到的是 火绒4.0版本（4.0.45.7 病毒库2017.12.19）也可以杀了



所以会不会3.0就有这条特征了呢？


还真是。

（3.0.42.0）
（病毒库时间2016.08.01）
那么 我们直接跳到1.0 看还是不是有这条特征（这里出了点意外 1.0的公测0.9是似乎没有查杀的 至少没有自定义查杀）

（版本号1.0.38）
我的猜想 是正确的
为了减小实验误差 我又将虚拟机恢复快照后重新安装1.0仍是如此：
到这里 我们就可以明白一个事实 那就是火绒的这条特征实际上是远古时期添加的 当时的工程师估计没有料到 自己在十几年前添加的一条特征 再相逢竟是以回旋镖的形式在2024.1.12飞回来
@火绒运营专员 去问问你们的工程师心情如何

该用户不存在

huolongguo10 发表于 2024-2-21 15:12
倒不如研究下命中的特征是什么

好了 和hijack字符串没关系 这是肯定的 核心特征可能是360相关进程名和添加注册表启动项的行为 刚好explorer后面的代码就有 将启动项代码删了就报FakeOSApp而不是AvKiller了 应该还包含有其他的特征 不然经测试就不生效 但是没这个时间去研究了 包括在实体机也报了

该用户不存在

huolongguo10 发表于 2024-2-24 19:27
谢谢
权限够高的（（（

开了         

该用户不存在

huolongguo10 发表于 2024-2-24 19:27
权限够高的（（（

还高？一会儿我开255了

huolongguo10

该用户不存在 发表于 2024-2-24 19:19
楼主能发（）但是被我搞的不成样子了（）
1是我改得报毒的那个样本
2应该也是

谢谢
权限够高的（（（

该用户不存在

huolongguo10 发表于 2024-2-24 19:07
lz能发个样本（explore）不

楼主能发（）但是被我搞的不成样子了（）
1是我改得报毒的那个样本
2应该也是

文外缪朴奂

差评发了一个这个https://mp.weixin.qq.com/s/cuaH6VLeulVXO0rTmbm-Kg
我看应该像是最早的版本就能杀，因为行为太像病毒了

huolongguo10

lz能发个样本（explore）不

huolongguo10

我看网传（B站）分析的是连续出现四个360进程名，但放到文件中这四个进程名就是紧挨着的……大概360也不会这么干，而病毒检测杀软的时候基本上整个列表循环，一堆杀软进程名连着，由于国内360用的多，那个病毒可能只检测了360并杀掉
倒是没想到启动项和AvKiller有啥关系

南国东东

该用户不存在 发表于 2024-2-21 16:43
win10

天啊！百度了！很不可思议的软件故障！

该用户不存在

南国东东 发表于 2024-2-21 16:40
你的操作系统版本是？

win10               

南国东东

该用户不存在 发表于 2024-2-21 16:01
昂 怎么了吗

你的操作系统版本是？

该用户不存在

南国东东 发表于 2024-2-21 15:41
好奇问问，你是在同一个操作系统运行火绒1.0版么？

昂 怎么了吗

haze阴霾

话说火绒为何一直有这道特征码但最近才出现误杀呢

南国东东

好奇问问，你是在同一个操作系统运行火绒1.0版么？

该用户不存在

huolongguo10 发表于 2024-2-21 15:12
倒不如研究下命中的特征是什么

我找个时间去研究一下