Microsoft Defender 把幣安安裝包或客戶端標記為「可疑」是老話題了,判斷方式很簡單:看釋出者必須是 Binance Holdings Limited,檔案從 幣安官網 的 Windows 下載頁獲得,就屬於誤報,可以透過白名單放行。本文會講清楚 Defender 的三種攔截機制(實時保護、SmartScreen、雲保護)與對應的解除辦法,並給出 360、火絨、騰訊電腦管家等國產殺軟的實操。如果你也想順便在手機上裝幣安 App,可以 幣安官方APP 獲取安裝包,APP 端由 Google Play Protect 託管,走的是另一套信任體系。
為什麼 Defender 會把幣安標紅
幣安 Windows 客戶端是 Electron 打包,加密貨幣類關鍵詞和加殼結構會觸發啟發式引擎的閾值。常見的判定標籤如下:
PUA:Win32/Presenoker:潛在有害應用泛指Wacatac:通用下載器族Adposhel:把 Electron 自動更新器誤判為廣告注入SmartScreen 攔截:安裝量未達到信譽閾值
這些標籤都不是真正的病毒。驗證方法是到 VirusTotal 上傳檔案做多引擎對比,若 90% 以上的主流引擎均未報毒,只有少數個別引擎標紅,就基本可以判定為誤報。
三層攔截分別長什麼樣
| 攔截型別 | 顯示位置 | 觸發階段 | 解除難度 |
|---|---|---|---|
| SmartScreen | 藍色對話方塊 | 雙擊 EXE 時 | 簡單,點「仍要執行」 |
| 實時保護 | 右下角氣泡 / 安全中心 | 下載或執行中 | 中,需要加白名單 |
| 雲保護 | 檔案被直接隔離 | 下載完成瞬間 | 難,需要從隔離區恢復 |
| 應用和瀏覽器控制 | Edge / Chrome 下載欄 | 下載結束 | 簡單,點「保留」 |
SmartScreen 的正確處理
雙擊 EXE 彈出藍色「Windows 已保護你的電腦」後,不要直接關視窗。正確流程:
- 點選「更多資訊」
- 檢視釋出者是否是
Binance Holdings Limited - 點選「仍要執行」
實時保護的正確處理
若 EXE 已被刪到隔離區:開啟 Windows 安全中心 → 病毒和威脅防護 → 保護歷史記錄 → 找到被隔離的條目 → 操作選「允許」或「還原」。
還原後,建議立即把檔案路徑加入排除列表,避免下次重灌時重複被清理。
PowerShell 精確新增排除項
Defender 的排除項有四種粒度:資料夾、檔案、副檔名、程序。給幣安客戶端做排除最佳實踐是同時排除安裝目錄和使用者資料目錄:
# 以管理員身份執行 PowerShell
Add-MpPreference -ExclusionPath "$env:LocalAppData\Programs\Binance"
Add-MpPreference -ExclusionPath "$env:AppData\Binance"
Add-MpPreference -ExclusionPath "$env:LocalAppData\Binance"
Add-MpPreference -ExclusionProcess "Binance.exe"
Add-MpPreference -ExclusionProcess "BinanceSetup.exe"
檢視當前已有的排除項:
Get-MpPreference | Select-Object -ExpandProperty ExclusionPath
Get-MpPreference | Select-Object -ExpandProperty ExclusionProcess
想要移除某一條:
Remove-MpPreference -ExclusionPath "$env:LocalAppData\Programs\Binance"
如果公司 IT 透過 Intune 或 GPO 下發了安全策略,本地 PowerShell 的 Add-MpPreference 可能會報"部分策略受管理員控制",需要聯絡 IT 在 AD/Intune 策略中加白名單。
從隔離區恢復被刪的 EXE
如果安裝包已經被 Defender 隔離,可以用 MpCmdRun 命令列工具恢復:
"C:\Program Files\Windows Defender\MpCmdRun.exe" -Restore -Name "VirTool:Win32/DefenderFalsePositive"
先查隔離區裡的威脅名:
"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 1
或者圖形化的路徑:Windows 安全中心 → 病毒和威脅防護 → 保護歷史記錄 → 選擇該條 → 「操作」→ 「還原」。
還原時務必選「允許在此裝置上使用」,否則下次掃描會再被隔離。
國產殺軟的處理對照
| 殺軟 | 白名單入口 | 需要加的路徑 |
|---|---|---|
| 360 安全衛士 | 設定 → 信任與阻止 → 信任列表 | Binance 安裝目錄 + Binance.exe |
| 火絨 | 設定 → 掃描防護 → 受信任區 | 同上 |
| 騰訊電腦管家 | 工具箱 → 信任與阻止 → 加入信任 | 同上 |
| 卡巴斯基 | 設定 → 威脅和排除 → 管理排除項 | 同上 |
| ESET | 設定 → 實時檔案系統保護 → 例外 | 同上 |
把 BinanceSetup.exe 和安裝目錄一起加白名單後,客戶端在 Windows 更新機制下自動更新時不會再次被誤殺。
SmartScreen 的登錄檔開關
如果你是在公司電腦或虛擬機器上頻繁需要安裝不同版本測試,可以臨時調低 SmartScreen 敏感度:
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer" /v SmartScreenEnabled
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer" /v SmartScreenEnabled /t REG_SZ /d Warn /f
取值含義:
RequireAdmin:最嚴,必須管理員同意Warn:警告但不強制Off:完全關閉(不推薦,會降低整機安全性)
調整完別忘了裝完幣安後改回 Warn 或 RequireAdmin。
雲保護和樣本提交
Defender 預設開啟雲保護,會把未知檔案的雜湊上傳到 Microsoft 雲端做判斷。如果你的幣安安裝包是最新發布的,雲端還沒有足夠信譽樣本,有可能被標記「未知」。
你可以主動給 Microsoft 提交誤報反饋:訪問 https://www.microsoft.com/en-us/wdsi/filesubmission,上传安装包并在反馈中写明「This is an official Binance desktop installer with valid Binance Holdings Limited signature」。通常 48 小時內會更新雲端的判斷,其他使用者也受益。
命令列驗證簽名
在 PowerShell 中確認簽名是否合法:
Get-AuthenticodeSignature "$env:USERPROFILE\Downloads\BinanceSetup-1.45.2.exe" | Format-List *
輸出裡需要看到:
Status: ValidSignerCertificate.Subject包含CN=Binance Holdings LimitedTimeStamperCertificate有效
三項齊全就是真正的官方簽名。若 Status 是 HashMismatch 或 NotSigned,這個安裝包 100% 被篡改,必須刪掉。
常見問題 FAQ
Q1:Defender 把我本地已安裝的 Binance.exe 刪了怎麼辦?
A:先從保護歷史記錄裡還原,再把安裝目錄加入排除列表。還原後如果提示「缺失元件」,直接重灌一遍最乾淨,配置檔案在 %AppData%\Binance\ 下不會丟。
Q2:為什麼我第一次裝沒報毒,第二次裝就被攔?
A:Defender 的雲保護會基於流行度和使用者反饋動態調整判定,簽名更新或版本號突變時可能被重新標記。這屬於 Defender 的正常工作機制,加白名單即可。
Q3:企業 AD 域環境,GPO 不讓修改 Defender 怎麼辦?
A:聯絡 IT 管理員在組策略裡新增 Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Exclusions 的路徑例外。個人無法繞過企業策略,強行繞過會違反公司 IT 合規。
Q4:Defender 和 360 同時開著,哪邊的白名單優先?
A:兩邊都要加。Defender 和 360 是獨立的掃描引擎,一個放行另一個可能還攔。更推薦只留一個活動殺軟,把 Defender 關閉實時保護,只用 360(或反過來),避免雙重掃描拖慢磁碟 I/O。
Q5:幣安客戶端更新後又被報毒,每次都要加白名單嗎?
A:按程序名加白名單(Binance.exe)通常在版本更新時仍然生效,不用重複加。但按檔案雜湊加白的(某些第三方殺軟)會在更新後失效,需要再加一次。建議用目錄級白名單:%LocalAppData%\Programs\Binance 整個目錄放行,一次配置長期有效。
如果你還想檢視 Win10/Win11 的解除安裝、多使用者、自啟配置等場景,回到 分類導航 選擇「Windows教程」分類。