Windows Defender错误识别关键驱动程序 干扰PC硬件监控工具运行

例如，风扇控制应用程序受到影响，导致风扇在该工具被隔离后高速运转。 然而，这并不是一次真正的攻击，而是 Windows Defender 在 Fan Control、Razer Synapse、SteelSeries Engine 等应用程序中检测到 WinRing0 而导致的误报。

WinRing0 是一个内核级驱动程序，允许这些应用程序访问风扇和 LED 灯等硬件组件。 它之所以被广泛使用，是因为它为开发人员提供了一种与硬件交互的方式，而这些硬件通常在 Windows 操作系统中受到限制。

"据我所知，只有两种免费的 Windows 驱动程序能够访问我们控制 LED 所需的 SMBus 寄存器： InpOut32 和 WinRing0，"OpenRGB 开发人员 Adam Honse 介绍说。

在 InpOut32 与 Riot 的 Vanguard 反作弊软件发生冲突后，OpenRGB 转用了 WinRing0。

图片： Github

微软标记 WinRing0 的决定让许多开发人员陷入困境。 该公司要求驱动程序必须经过数字签名，而这一过程成本高昂，对于许多开源项目来说往往是不可行的。Honse说："要求非营利性的hobby（免费开源软件）项目支付与营利性公司相同的驱动程序签名费用是不可行的。 因此，一些开发人员正在考虑其他解决方案，例如创建专有驱动程序，尽管这是一项资源密集型任务。"

例如，SignalRGB 开发了自己的专有 SMBus 驱动程序来取代 WinRing0。 然而，由于需要大量的工程资源，这种方法对于小型项目来说并不可行。SignalRGB 的 Timothy Sun 说："我不会粉饰它--开发过程充满挑战，需要大量的工程资源。"

微软威胁保护部总经理 Scott Woodgate 表示，微软已经承认了这一问题，并正在重新评估其检测逻辑，以避免误报。

在微软继续调查的同时，一些开发人员建议，修复 WinRing0 本身的漏洞可能是一个更简单的解决方案。 然而，由于相关费用问题，要获得微软签署的修补版本仍然是一个挑战。

iBuyPower 是一家预制游戏 PC 制造商，它计划获得一个经过微软签署的 WinRing0 更新版本，并与开发人员共享。 这可以为许多受影响的应用程序提供一个经济有效的解决方案。Hyte产品总监Robert Teller说："如果这个解决方案有效，我们将分享我们更新和签名版的库，这样开发者社区就可以发布带有经过验证的微软驱动程序的新版应用程序。"

与此同时，受影响软件的用户可能需要更新其应用程序，或在 Windows Defender 中添加例外，以维持功能。 Razer 和 SteelSeries 已经在其最新软件版本中放弃使用 WinRing0，但这可能会导致一些功能的丢失。