Microsoft站点iso下载由Defender标记为hacktool，同时通过rufus创建可引导的USB。

Question

Iso of 32位Windows 10专业英文版通过使用chrome的开发工具来伪造chromeOS签名从微软网站下载，从而避免使用微软的下载工具，从而导致微软防御系统发出HackTool:VBS/InfoGather警报。此警报出现在创建可引导窗口以通过rufus进行usb时。这对任何人来说都有意义吗？

从这里下载https://www.microsoft.com/en-us/software-download/windows10ISO

特定文件E:\Windows\WinSxS\x86_microsoft-windows-n..sh-helper-extension_31bf3856ad364e35_10.0.19041.746_none_3b41ed21a85c3a71\gatherNetworkInfo.vbs

如果我能分享任何其他信息，请告诉我。

Answer 1

验证映像是否合法的最佳方法是检查Microsoft下载站点提供的ISO的SHA-256散列。每当网站提供强加密散列或强数字签名时，谨慎的做法是检查它，以确保您获得的数据是供应商提供的数据。

假设散列匹配，有几种可能性，很可能发生：

• 这是一个假阳性，防守者正在错误地标记它。
• 您的系统已被破坏，该文件虽然在ISO中正确，但已被恶意软件修改到您的系统上。
• 微软的下载站点已经被破坏，哈希和ISO都被篡改了。

如果哈希不匹配，那么唯一安全的假设是数据已被未经授权的方修改，您应该避免使用该数据并将其报告给Microsoft (作为供应商)。

如果您不确定如何检查哈希，可以在WSL或Git环境中对文件使用sha256sum，我相信PowerShell也提供了一种验证这一点的方法。