最近用Windows 10的哥们儿可真够倒霉的。不少人装了火绒杀毒,系统一更新,点了个查杀,结果电脑直接黑屏了。重启也没用,高级启动进不去,桌面图标全没了,就剩一个黑屏,跟断电似的。
这下可炸锅了。大家第一反应就是——火绒出bug了。毕竟你是杀毒软件,把系统搞崩了,不骂你骂谁?网上一堆人开喷:“火绒你保护了个寂寞?”“我工作资料全在C盘啊!”
可事情没那么简单。火绒确实删了系统文件,但它删的是资源管理器explorer.exe。这个玩意儿可不是普通程序,它是Windows的门面,任务栏、开始菜单、文件夹窗口全都靠它撑着。删了它,就跟拆了房子的地基一样,电脑能不黑屏才怪。
按理说,这种核心系统组件,任何杀毒软件都应该列进白名单,绝不能乱动。可火绒这次偏偏就把它当成病毒给干掉了。乍一看,确实是火绒的问题,太离谱了。但后来有人发现,问题的根源,可能不在火绒。
B站有个技术大佬epcdiy,联合360的安全工程师一起逆向分析,结果吓一跳。他们发现最新版的explorer.exe里,居然偷偷塞了一堆检测代码,专门盯着360安全卫士的进程。而且这功能只在国内版本有,国外用户压根没这待遇。
更细思极恐的是,这段代码的名字叫IsHijackingProcessRunning。翻译过来就是:劫持进程是否在运行。意思很明显,微软在监控360有没有“劫持”系统行为。如果检测到360在改explorer.exe,系统就会自动关闭自己的广告推送功能ShellFeedsCampaign,避免冲突崩溃。
说白了,微软这是为了系统稳定,主动给360让路。毕竟两家程序同时改同一个地方,系统容易炸。微软选择退一步,让360先上,也算是无奈之举。
但问题来了,微软写这段代码的方式,实在太像病毒了。检测进程、记录行为、动态响应,整套逻辑看起来就跟个木马一样。火绒一看,好家伙,开云这不明摆着是恶意行为吗?于是手起刀落,把整个explorer.exe全删了。
这就尴尬了。火绒本来是想清病毒,结果把微软正儿八经的兼容代码当成了攻击程序。而360呢,早就知道微软搞了这套机制,提前做了应对,自家软件不会触发误报。反倒是“老实”的火绒,没看懂这场大厂之间的暗流,直接踩雷。
所以你看,这事怪谁都不太合适。微软是为了系统稳定才加的检测代码,虽然写得像病毒,但出发点没问题。360也没做错啥,它作为安全软件,确实会改系统来实现功能,行业里这操作挺常见。火绒更是冤大头,按常规逻辑杀毒,结果把“官方特供”的程序给端了。
归根结底,这是个兼容性问题。三方都没想坑用户,但合在一起就出了事。火绒反应还挺快,出了公告,更新了病毒库,让用户恢复系统。可它没解释为啥会误杀,估计自己也懵。
更深层的问题是,国内软件生态太乱了。杀毒软件要防病毒,可有时候连官方行为都分不清。系统更新要兼容第三方,结果写了段像病毒的代码。而像360这样的大厂,功能深入到底层,一不留神就被系统盯上。
这件事也暴露了一个现实:普通用户根本不知道电脑里发生了什么。你说删个文件就黑屏,谁能想到背后是微软和360的暗战?火绒不过是中间撞枪口的那个。
不少网友已经吐槽,装个杀毒软件比炒股还刺激。你以为在保护电脑,其实你在参与一场看不见的战争。这次是explorer.exe,下次还不知道是哪个系统文件会被当成战场。
现在火绒已经修复了问题,新用户一般不会再中招。但那些已经黑屏的,只能靠PE系统手动恢复,或者重装系统。数据丢了的也挺多,算是交了学费。
说到底,这锅不能全让火绒背。它只是链条上的一环。真正该反思的是,为什么系统要偷偷加检测机制?为什么第三方软件要深度介入系统?为什么用户对自己电脑的控制权越来越弱?
这些问题没人回答。大家该用还是用,火绒该装还是装。只是下次系统更新,可能得多留个心眼了。