Windows Defender误将VS2019编译的C#桌面项目发布版识别为木马

阿华AIGC实验室

2026-5-7

解决VS 2019 16.6.0编译的C# Release项目被误报Trojan:MSIL/Fareit.VM!MTB的问题

我之前也碰到过Windows Defender误报自己编译的C#程序的情况，结合你给出的系统防护状态信息，给你整理几个实用的排查和解决方向：

一、先确认你的防护状态细节

你执行Get-MpComputerStatus输出的系统防护状态如下：

AMEngineVersion : 1.1.17100.2
AMProductVersion : 4.18.2004.6
AMServiceEnabled : True
AMServiceVersion : 4.18.2004.6
AntispywareEnabled : True
AntispywareSignatureAge : 0
AntispywareSignatureLastUpdated : 2020年5月29日 16:06:44
AntispywareSignatureVersion : 1.317.207.0
AntivirusEnabled : True
AntivirusSignatureAge : 0
AntivirusSignatureLastUpdated : 2020年5月29日 16:06:44
AntivirusSignatureVersion : 1.317.207.0
BehaviorMonitorEnabled : True
ComputerID : AFCC7D96-94CF-402C-BC3E-9ECE1640D1A0
ComputerState : 0
FullScanAge : 4294967295
FullScanEndTime : 
FullScanStartTime : 
IoavProtectionEnabled : True
IsTamperProtected : True
IsVirtualMachine : False
LastFullScanSource : 0
LastQuickScanSource : 2
NISEnabled : True
NISEngineVersion : 1.1.17100.2
NISSignatureAge : 0
NISSignatureLastUpdated : 2020年5月29日 16:06:44
NISSignatureVersion : 1.317.207.0
OnAccessProtectionEnabled : True
QuickScanAge : 6
QuickScanEndTime : 2020年5月23日 14:27:29
QuickScanStartTime : 2020年5月23日 14:25:44
RealTimeProtectionEnabled : True
RealTimeScanDirection : 0
PSComputerName :

从这些信息来看，你的Defender病毒库是完全最新的（签名刚在2020-05-29更新过），实时防护也处于正常启用状态，这种情况下的误报几乎都是因为你的编译产物触发了Defender的启发式检测规则——也就是程序的某些特征和已知恶意软件的行为/代码结构相似。

二、具体排查和解决步骤

1. 先排查项目本身的可疑点

检查你的代码里有没有包含敏感操作：比如直接读写系统核心注册表项、无提示启动外部进程、内存操作（比如指针操作）、自定义加密/解密逻辑等，这些行为很容易被启发式检测盯上。
确认你用的第三方NuGet包都是来自官方源、且是知名度高的可信包——有些小众或来源不明的包可能本身带有可疑特征，甚至真的包含恶意代码。

2. 验证是否是Release编译优化导致的

先试试用Debug配置编译项目，看看会不会同样被误报。如果Debug版本没问题，那基本就是Release的编译优化（比如代码压缩、IL合并、编译器优化）让生成的二进制文件出现了类似恶意软件的特征。
如果你在Release配置里启用了代码混淆工具（比如ConfuserEx、Dotfuscator这类），可以先关掉混淆再编译测试——很多混淆工具生成的产物都会被杀毒软件误判，因为混淆后的代码结构和恶意软件的混淆逻辑很像。