文章总结： 微软Defender误将正版激活工具MAS视为恶意软件拦截，原因在于正版域名与恶意仿冒域名仅一字之差。Defender本意打击李鬼脚本，却将正版域名列入黑名单，导致用户被迫关闭实时防护以完成激活，反而增加了系统安全风险。这一误判事件暴露了安全软件规则匹配机制的缺陷。 综合评分： 73 文章分类： 安全工具,漏洞预警

微软 Defender 误伤“正版”激活工具，一字母之差引发乌龙

看雪学苑

看雪学苑

2026年1月9日 18:00 上海

近日，微软安全防护软件 Microsoft Defender 卷入一场颇具争议的“误伤”事件。其本意为打击冒用知名开源工具“微软激活脚本”（MAS）之名的恶意软件，却因过滤规则存在偏差，意外将正版的 MAS 工具也一并拦截，导致许多用户在尝试合法激活时操作失败。

事件源头可从一则典型的 Defender 威胁警报中窥见。警报显示，系统检测到名为“Trojan.PowerShell/FakeMas.DA!MTB”的活跃威胁，并将其归类为“危险程序，执行来自恶意攻击者的命令”。受影响的进程直接关联到 PowerShell 执行环境。而当用户尝试运行正版 MAS 的典型命令（irm https://get.activated.win | iex）时，Defender 会报错并阻止，提示“脚本内容恶意”。

微软显然意识到了 MAS 工具及其被恶意仿冒的现象。近期出现了大量注册相似域名传播木马的“李鬼”脚本，此事也得到了 MAS 开发团队在社交媒体上的证实。微软 Defender 的主动拦截机制，其初衷正是为了打击这些钓鱼版本。

然而，问题的关键在于一个细微的字符差异。经安全研究人员比对：

-正版 MAS 命令域名为：https://get.activated.win

-已知的恶意仿冒域名为：https://get.activate.win（缺少字母d）

目前迹象表明，微软 Defender 的拦截名单似乎不慎将正版域名也纳入了黑名单。尽管受条件所限，暂时无法验证恶意版本是否被成功拦截，但若最终结果是安全软件“放行了恶意脚本，却挡住了无害的正版”，无疑将构成巨大的安全讽刺。

这一误判带来了现实困扰。由于 Microsoft Defender 在 Windows 系统中默认启用并实时保护，受影响的用户若需使用正版 MAS，当前必须手动暂时关闭 Defender 的实时防护等核心安全功能，待激活完成后再立即重新开启。这个过程本身便带来了短暂的安全窗口期。

资讯来源：securityonline.info

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑《微软 Defender 误伤“正版”激活工具，一字母之差引发乌龙》