我之前也碰到过NSIS打包的工具被Defender误判的情况，结合你的场景，咱们来拆解下问题：

可能的误报原因 #

• 未签名的程序身份不明：很多恶意软件也会使用NSIS作为打包工具，Defender的机器学习模型会对未经过数字签名的陌生程序提高警惕，尤其是你的程序还涉及写入系统目录（3ds Max的安装目录通常在Program Files下）和修改注册表，这些行为和恶意软件的操作有重叠。
• 行为特征匹配：你的安装程序执行的复制文件到应用目录、创建卸载注册表项这些操作，刚好和Defender病毒库中标记的Win32/Sprisky.U!cl的特征吻合，尤其是如果你的程序是刚编译的、传播量很小，Defender的自动检测系统更容易误判。
• NSIS版本或脚本问题：如果使用的是较旧版本的NSIS，可能存在一些已经被恶意软件滥用的脚本写法或默认行为，导致被Defender盯上。

可行的解决办法 #

1. 给程序添加数字签名（最推荐） #

数字签名是解决Defender误报最有效的方式，它能向系统证明程序的开发者身份。你可以：

• 购买正规的代码签名证书（比如DigiCert、GlobalSign等机构的证书）；
• 个人开发者可以申请微软的免费代码签名证书（通过Windows开发者中心渠道获取）。
  签名后的程序会被Defender视为可信来源，基本不会再被误判。

2. 向微软提交误报反馈 #

把你的安装程序样本提交给微软，让他们更新病毒库，纠正误判：

• 打开Windows Defender的「病毒和威胁防护」→「保护历史记录」，找到拦截你的程序的记录，选择「提交样本」并标记为「误报」；
• 也可以直接通过微软官方的安全样本提交入口（在Defender设置里能找到跳转路径）提交，附上你的程序说明，明确这是你开发的合法安装程序。

3. 优化NSIS脚本与打包方式 #

• 使用最新版NSIS：升级到NSIS的最新稳定版本，新版本通常会修复一些容易被误判的行为，还能支持更规范的权限请求方式。
• 规范权限请求：在脚本开头添加RequestExecutionLevel admin，明确请求管理员权限，避免偷偷提权的行为被Defender视为可疑。
• 规范注册表操作：确保卸载注册表项创建在标准路径（比如HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall或对应用户的HKCU路径），并且包含DisplayName、UninstallString等标准字段，不要写入不规范的注册表位置。
• 避免敏感操作：如果可以，尽量不要直接写入Program Files根目录下的子文件夹，或者先检查目录权限再执行复制操作，减少可疑行为特征。

4. 临时排除方案（仅用于测试或小范围分发） #

如果是自己测试或者给少数信任的用户使用，可以让用户把你的安装程序添加到Defender的排除列表中：

• 打开Defender的「病毒和威胁防护」→「病毒和威胁防护设置」→「添加或删除排除项」，把你的程序文件或所在文件夹添加进去。不过这个方案不适合公开分发的程序。

内容的提问来源于stack exchange，提问作者zvon