Windows Defender错误识别关键驱动程序 干扰PC硬件监控工具运行
站长云网PC游戏玩家最近遇到了一个意想不到的问题,由于一个名为WinRing0的内核级驱动程序,他们的电脑触发了WindowsDefender警报。该软件由各种硬件监控应用程序使用,被标记为潜在威胁,导致某些系统行为异常。
例如,风扇控制应用程序受到影响,导致风扇在该工具被隔离后高速运转。然而,这并不是一次真正的攻击,而是WindowsDefender在FanControl、RazerSynapse、SteelSeriesEngine等应用程序中检测到WinRing0而导致的误报。
WinRing0是一个内核级驱动程序,允许这些应用程序访问风扇和LED灯等硬件组件。它之所以被广泛使用,是因为它为开发人员提供了一种与硬件交互的方式,而这些硬件通常在Windows操作系统中受到限制。
"据我所知,只有两种免费的Windows驱动程序能够访问我们控制LED所需的SMBus寄存器:InpOut32和WinRing0,"OpenRGB开发人员AdamHonse介绍说。
在InpOut32与Riot的Vanguard反作弊软件发生冲突后,OpenRGB转用了WinRing0。
微软标记WinRing0的决定让许多开发人员陷入困境。该公司要求驱动程序必须经过数字签名,而这一过程成本高昂,对于许多开源项目来说往往是不可行的。Honse说:"要求非营利性的hobby(免费开源软件)项目支付与营利性公司相同的驱动程序签名费用是不可行的。因此,一些开发人员正在考虑其他解决方案,例如创建专有驱动程序,尽管这是一项资源密集型任务。"
例如,SignalRGB开发了自己的专有SMBus驱动程序来取代WinRing0。然而,由于需要大量的工程资源,这种方法对于小型项目来说并不可行。SignalRGB的TimothySun说:"我不会粉饰它--开发过程充满挑战,需要大量的工程资源。"
微软威胁保护部总经理ScottWoodgate表示,微软已经承认了这一问题,并正在重新评估其检测逻辑,以避免误报。
在微软继续调查的同时,一些开发人员建议,修复WinRing0本身的漏洞可能是一个更简单的解决方案。然而,由于相关费用问题,要获得微软签署的修补版本仍然是一个挑战。
iBuyPower是一家预制游戏PC制造商,它计划获得一个经过微软签署的WinRing0更新版本,并与开发人员共享。这可以为许多受影响的应用程序提供一个经济有效的解决方案。Hyte产品总监RobertTeller说:"如果这个解决方案有效,我们将分享我们更新和签名版的库,这样开发者社区就可以发布带有经过验证的微软驱动程序的新版应用程序。"
与此同时,受影响软件的用户可能需要更新其应用程序,或在WindowsDefender中添加例外,以维持功能。Razer和SteelSeries已经在其最新软件版本中放弃使用WinRing0,但这可能会导致一些功能的丢失。
踩一下[0]
顶一下[0]