MS Windows Defender 和 DeCSS

2021 年 7 月 20 日下午 7 点 42 分，Windows Defender 定义每日更新将著名的 DeCSS DVD 加密软件的副本作为木马进行了立即隔离，然后在 60 秒后删除。这似乎是一个误报，值得注意的只是因为它错误定位的软件非常有名。根据下面的屏幕截图，它将软件识别为 Glupteba!ml 木马，将其标记为严重威胁； Windows Defender 还将 2000 年代中期的 XFX Keygen 程序误诊为高威胁。是的，他们破解了软件，但除非问题更大，否则这是一个中到低的威胁。如果你觉得勇敢，这里是有问题的文件：DeCSS.exe <— 警告！这里是龙。下载此内容的风险自负。了解风险。我保证此文件的来源如下： 它是通过 DirectConnect 从 2004 年由 2600 名附属贡献者运行的文件中心获得的。它的代码签名与乔恩·莱赫·约翰森用来签署可执行文件的大卫·福库斯（David Fawcus）在 1999 年错误使用的代码签名相匹配.另外，这里是 XFX Force Keygen 被标记为误报 高威胁 这是文件：KEYGENXFORCE.exe <— 警告！这里是龙。下载此内容需您自担风险。了解风险。

卡巴斯基没有发现任何威胁。在 VirusTotal 上，72 个引擎中有 32 个将其误认为是恶意的。 -------------------------------------------------- ----------------------------------- MpCmdRun: 命令行: mpcmdrun -restore -all 开始时间: 星期二Jul 20 2021 20:10:48MpEnsureProcessMitigationPolicy: hr = 0x1ERROR: MpQuarantineRequest failed: 名称: HackTool:Win32/Keygen!MSR, GUID: {8003F52C-0000-0000-35F804000-33500000000000000000000000000000000004000000000000000同业 失败80508014）错误：MpQuarantineRequest 失败：名称：HackTool:Win32/Keygen!MSR，GUID：{8003F52C-0000-0000-B7CE-870973926357}（80508014）错误：QuarantineRestore 失败：MpQuarantineRestore 名称：Win32P3004 /Glupteba!ml，GUID：{80040956-0000-0000-D48C-06A3EB93B95A} (80508014)ERROR：QuarantineRestore 失败 (80508014)MpCmdRun.exe：hr = 0x8056-0000-0000 20080 0x805080 2008080 :10:48---------------------------------------------- --------------------------------------- 您通过打开一个提升的 CMD 窗口来转储日志文件夹 C:\Program Files\Windows Defender 文件夹。然后执行 mpcmdrun -restore -listall 以列出所有被隔离的项目。使用 mpcmdrun -restore -all 来恢复所有（危险！）您会注意到我上面的日志列出了每个文件的失败代码 80508014。因此，我执行 mpcmdrun -restore -all --Path D:\temp 将其恢复到与删除它的 NAS 不同的位置。然后数据将在 D:\temp 中处于静止状态，直到我尝试将其复制回 Defender 在 NAS 上删除它的位置。此时它会再次删除它。 NAS 上的静态数据存在于 DS920+ Synology 上，该 Synology 具有 BRTFS 格式的 4tb Raid 1 卷。这个 NAS 卷通过 SMB 作为 Z: 驱动器在房子里的所有机器上共享。 NAS 包含其他单独的卷，为面向 Internet 的 Pi 提供服务，该 Pi 运行 Traefikv2，在单独的 VLAN 上提供多服务。

截至今天早上 7 点 42 分，MS 推出了一项更新，似乎修复了 DeCSS 的误报。截至 21 年 7 月 21 日晚上 8 点 10 分，它仍然错误地将 XFX Keygens 识别为威胁。