先上图
可以很明显看到,ShellFeedsCampaignHelper::IsHijackingProcessRunning这个函数用于检查是否有被劫持的进程正在运行,CreateToolhelp32Snapshot 函数来创建一个系统快照。该函数通常用于获取系统中进程、线程、模块等信息的快照。参数 2u 表示要创建进程快照,参数 0 表示快照将包括系统中所有的进程,这里指的是
L"360leakfixer.exe";
L"360safe.exe";
L"360PatchMgr64.exe";
L"360Tray.exe";
L"ZhuDongFangYu.exe";
继续,转到所谓的 LABEL_34代码块中
如果 v22 的值为真(非零),则将将数组 v31 的第一个元素赋值为 0,也就是 ShellFeedsCampaignHelper将不可用。
类似的还有ShellFeedsCampaignHelper::CheckAvailability_UserUnpinDate,不多阐述了。
所以总的说来, IsHijackingProcessRunning 的行为简要总结就是检测360相关进程是否在运行,如果在运行则关闭 ShellFeedsCampaignHelper 功能
翻了下知乎,对应的是这个注册表值
总之就是,火绒误杀了微软让步360的代码,然后360分析错了微软让步的代码
就这么简单
可以很明显看到,ShellFeedsCampaignHelper::IsHijackingProcessRunning这个函数用于检查是否有被劫持的进程正在运行,CreateToolhelp32Snapshot 函数来创建一个系统快照。该函数通常用于获取系统中进程、线程、模块等信息的快照。参数 2u 表示要创建进程快照,参数 0 表示快照将包括系统中所有的进程,这里指的是
L"360leakfixer.exe";
L"360safe.exe";
L"360PatchMgr64.exe";
L"360Tray.exe";
L"ZhuDongFangYu.exe";
继续,转到所谓的 LABEL_34代码块中
如果 v22 的值为真(非零),则将将数组 v31 的第一个元素赋值为 0,也就是 ShellFeedsCampaignHelper将不可用。
类似的还有ShellFeedsCampaignHelper::CheckAvailability_UserUnpinDate,不多阐述了。
所以总的说来, IsHijackingProcessRunning 的行为简要总结就是检测360相关进程是否在运行,如果在运行则关闭 ShellFeedsCampaignHelper 功能
翻了下知乎,对应的是这个注册表值
总之就是,火绒误杀了微软让步360的代码,然后360分析错了微软让步的代码
就这么简单