Microsoft Defender 把币安安装包或客户端标记为「可疑」是老话题了,判断方式很简单:看发布者必须是 Binance Holdings Limited,文件从 币安官网 的 Windows 下载页获得,就属于误报,可以通过白名单放行。本文会讲清楚 Defender 的三种拦截机制(实时保护、SmartScreen、云保护)与对应的解除办法,并给出 360、火绒、腾讯电脑管家等国产杀软的实操。如果你也想顺便在手机上装币安 App,可以 币安官方APP 获取安装包,APP 端由 Google Play Protect 托管,走的是另一套信任体系。
为什么 Defender 会把币安标红
币安 Windows 客户端是 Electron 打包,加密货币类关键词和加壳结构会触发启发式引擎的阈值。常见的判定标签如下:
PUA:Win32/Presenoker:潜在有害应用泛指Wacatac:通用下载器族Adposhel:把 Electron 自动更新器误判为广告注入SmartScreen 拦截:安装量未达到信誉阈值
这些标签都不是真正的病毒。验证方法是到 VirusTotal 上传文件做多引擎对比,若 90% 以上的主流引擎均未报毒,只有少数个别引擎标红,就基本可以判定为误报。
三层拦截分别长什么样
| 拦截类型 | 显示位置 | 触发阶段 | 解除难度 |
|---|---|---|---|
| SmartScreen | 蓝色对话框 | 双击 EXE 时 | 简单,点「仍要运行」 |
| 实时保护 | 右下角气泡 / 安全中心 | 下载或运行中 | 中,需要加白名单 |
| 云保护 | 文件被直接隔离 | 下载完成瞬间 | 难,需要从隔离区恢复 |
| 应用和浏览器控制 | Edge / Chrome 下载栏 | 下载结束 | 简单,点「保留」 |
SmartScreen 的正确处理
双击 EXE 弹出蓝色「Windows 已保护你的电脑」后,不要直接关窗口。正确流程:
- 点击「更多信息」
- 查看发布者是否是
Binance Holdings Limited - 点击「仍要运行」
实时保护的正确处理
若 EXE 已被删到隔离区:打开 Windows 安全中心 → 病毒和威胁防护 → 保护历史记录 → 找到被隔离的条目 → 操作选「允许」或「还原」。
还原后,建议立即把文件路径加入排除列表,避免下次重装时重复被清理。
PowerShell 精确添加排除项
Defender 的排除项有四种粒度:文件夹、文件、扩展名、进程。给币安客户端做排除最佳实践是同时排除安装目录和用户数据目录:
# 以管理员身份运行 PowerShell
Add-MpPreference -ExclusionPath "$env:LocalAppData\Programs\Binance"
Add-MpPreference -ExclusionPath "$env:AppData\Binance"
Add-MpPreference -ExclusionPath "$env:LocalAppData\Binance"
Add-MpPreference -ExclusionProcess "Binance.exe"
Add-MpPreference -ExclusionProcess "BinanceSetup.exe"
查看当前已有的排除项:
Get-MpPreference | Select-Object -ExpandProperty ExclusionPath
Get-MpPreference | Select-Object -ExpandProperty ExclusionProcess
想要移除某一条:
Remove-MpPreference -ExclusionPath "$env:LocalAppData\Programs\Binance"
如果公司 IT 通过 Intune 或 GPO 下发了安全策略,本地 PowerShell 的 Add-MpPreference 可能会报"部分策略受管理员控制",需要联系 IT 在 AD/Intune 策略中加白名单。
从隔离区恢复被删的 EXE
如果安装包已经被 Defender 隔离,可以用 MpCmdRun 命令行工具恢复:
"C:\Program Files\Windows Defender\MpCmdRun.exe" -Restore -Name "VirTool:Win32/DefenderFalsePositive"
先查隔离区里的威胁名:
"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 1
或者图形化的路径:Windows 安全中心 → 病毒和威胁防护 → 保护历史记录 → 选择该条 → 「操作」→ 「还原」。
还原时务必选「允许在此设备上使用」,否则下次扫描会再被隔离。
国产杀软的处理对照
| 杀软 | 白名单入口 | 需要加的路径 |
|---|---|---|
| 360 安全卫士 | 设置 → 信任与阻止 → 信任列表 | Binance 安装目录 + Binance.exe |
| 火绒 | 设置 → 扫描防护 → 受信任区 | 同上 |
| 腾讯电脑管家 | 工具箱 → 信任与阻止 → 加入信任 | 同上 |
| 卡巴斯基 | 设置 → 威胁和排除 → 管理排除项 | 同上 |
| ESET | 设置 → 实时文件系统保护 → 例外 | 同上 |
把 BinanceSetup.exe 和安装目录一起加白名单后,客户端在 Windows 更新机制下自动更新时不会再次被误杀。
SmartScreen 的注册表开关
如果你是在公司电脑或虚拟机上频繁需要安装不同版本测试,可以临时调低 SmartScreen 敏感度:
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer" /v SmartScreenEnabled
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer" /v SmartScreenEnabled /t REG_SZ /d Warn /f
取值含义:
RequireAdmin:最严,必须管理员同意Warn:警告但不强制Off:完全关闭(不推荐,会降低整机安全性)
调整完别忘了装完币安后改回 Warn 或 RequireAdmin。
云保护和样本提交
Defender 默认开启云保护,会把未知文件的哈希上传到 Microsoft 云端做判断。如果你的币安安装包是最新发布的,云端还没有足够信誉样本,有可能被标记「未知」。
你可以主动给 Microsoft 提交误报反馈:访问 https://www.microsoft.com/en-us/wdsi/filesubmission,上传安装包并在反馈中写明「This is an official Binance desktop installer with valid Binance Holdings Limited signature」。通常 48 小时内会更新云端的判断,其他用户也受益。
命令行验证签名
在 PowerShell 中确认签名是否合法:
Get-AuthenticodeSignature "$env:USERPROFILE\Downloads\BinanceSetup-1.45.2.exe" | Format-List *
输出里需要看到:
Status: ValidSignerCertificate.Subject包含CN=Binance Holdings LimitedTimeStamperCertificate有效
三项齐全就是真正的官方签名。若 Status 是 HashMismatch 或 NotSigned,这个安装包 100% 被篡改,必须删掉。
常见问题 FAQ
Q1:Defender 把我本地已安装的 Binance.exe 删了怎么办?
A:先从保护历史记录里还原,再把安装目录加入排除列表。还原后如果提示「缺失组件」,直接重装一遍最干净,配置文件在 %AppData%\Binance\ 下不会丢。
Q2:为什么我第一次装没报毒,第二次装就被拦?
A:Defender 的云保护会基于流行度和用户反馈动态调整判定,签名更新或版本号突变时可能被重新标记。这属于 Defender 的正常工作机制,加白名单即可。
Q3:企业 AD 域环境,GPO 不让修改 Defender 怎么办?
A:联系 IT 管理员在组策略里添加 Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Exclusions 的路径例外。个人无法绕过企业策略,强行绕过会违反公司 IT 合规。
Q4:Defender 和 360 同时开着,哪边的白名单优先?
A:两边都要加。Defender 和 360 是独立的扫描引擎,一个放行另一个可能还拦。更推荐只留一个活动杀软,把 Defender 关闭实时保护,只用 360(或反过来),避免双重扫描拖慢磁盘 I/O。
Q5:币安客户端更新后又被报毒,每次都要加白名单吗?
A:按进程名加白名单(Binance.exe)通常在版本更新时仍然生效,不用重复加。但按文件哈希加白的(某些第三方杀软)会在更新后失效,需要再加一次。建议用目录级白名单:%LocalAppData%\Programs\Binance 整个目录放行,一次配置长期有效。
如果你还想查看 Win10/Win11 的卸载、多用户、自启配置等场景,回到 分类导航 选择「Windows教程」分类。