NAPS2项目遭遇微软Defender误报问题的技术分析

背景概述

近期，NAPS2开源扫描软件在发布8.0b2版本时遇到了一个棘手的问题——微软Defender安全软件将该版本的安装包错误地标记为潜在风险软件。具体表现为，当用户尝试下载或安装NAPS2时，Defender会拦截并报告检测到"Script/Wacatac.B!ml"或"Win32/virut"等警告。

问题现象

在8.0b2版本中，主要受影响的是Windows平台的安装包，包括ZIP压缩包和MSI安装程序。其中，ZIP包中的"NAPS2.Worker.exe"文件尤为突出，在安全检测平台上获得了较高的检测率。值得注意的是，前一版本8.0b1的相同文件则显示零检测，这表明问题源于版本间的某些变更。

根本原因分析

经过技术团队调查，发现问题的根源可能来自以下几个方面：

1. .NET工具链升级：从8.0b1到8.0b2的过程中，项目将.NET工具链从9RC2升级到了9.0.101版本。新版本的构建方式可能触发了安全软件的启发式检测机制。

2. 签名问题：开发团队发现了一个关键缺陷——工作进程(Worker)没有正确签名。这在安全软件看来是一个需要注意的信号，因为合法的应用程序组件通常都应该经过数字签名验证。

3. AOT编译问题：这与.NET 9的AOT(提前编译)特性有关。微软Defender对AOT编译生成的二进制文件存在较高的误报率，这在.NET社区中已有类似案例报告。

解决方案

开发团队迅速采取了以下措施来解决这一问题：

1. 修复签名问题：提交了代码修复，确保所有可执行文件都经过正确签名。这一变更已经合并到主分支中。

2. 等待安全厂商更新：向微软提交了误报报告，并等待安全厂商更新其检测规则。从历史经验来看，这类误报通常需要几天到几周时间才能得到解决。

3. 版本更新：在后续的8.0b3版本中，这些问题已经得到解决，用户可以安全下载和使用。

给用户的建议

对于遇到此问题的用户，我们建议：

1. 可以放心使用8.0b3及更高版本，这些版本已经解决了误报问题。

2. 如果必须使用8.0b2版本，可以暂时将NAPS2安装目录添加到Defender的排除列表中，但需确保下载来源可信。

3. 关注项目的官方发布渠道，获取最新的安全更新和使用建议。

总结

这次事件展示了开源软件在安全环境下面临的挑战，也体现了NAPS2开发团队对安全问题的快速响应能力。通过技术分析和及时修复，团队不仅解决了当前问题，也为未来的版本发布积累了宝贵经验。对于用户而言，理解这类误报现象的本质有助于在安全和使用便利性之间做出明智选择。