趋势科技软件驱动程式在微软认证测试中作弊，被列入Windows 10黑名单

趋势科技一项安全产品驱动程式，被发现在微软认证测试时采取不诚实作法，而遭微软列入封锁名单，将不得安装于Windows 10电脑上，不过趋势科技否认有作弊行为。

安全专家Alex Ionescu昨（28）日发现，趋势科技的安全产品Rootkit Buster一项驱动程式tmcomm.sys，被加入微软Windows 10 20H1(即2004版)的驱动程式封锁名单，这表示它被排除在最新版Windows 10更新，而且是20H1才将之封锁。巧合的是，《The Register》发现，趋势科技也在周末将产品从官网下架。

事情可能和安全研究人员Bill Demirkapi的一项发现有关。他发现，Rookit Buster的tmcomm.sys有违反微软Windows硬件品质实验室（Windows Hardware Quality Labs，WHQL）认证测试规范的行为。

通过认证测试要求的软件可以获得微软签章，并经由Windows Update部署到广大用户电脑上。这项测试对驱动程式的一项要求是，驱动程式只能从Windows的RAM非执行（non executable）非分页集区（non-paged pool）呼叫内存资源，以免恶意程式码注入到驱动程式内存被攻击者执行。

Demirkapi发现趋势科技的tmcomm.sys会侦测它跑的电脑是否显示正在进行WHQL的测试软件driver verifier。如果侦测到，它就会从非执行区呼叫资源，但如果没侦测到这个软件，就会从执行区的非分页集区呼叫，这是违反微软规定的。至于趋势科技为什么这么做不得而知，研究人员猜测是因驱动程式无法符合微软规定，但为了通过测试选而作弊。

趋势科技否认有作弊行为，表示公司一向和微软密切合作以确保通过严格的标准，不过并未说明其Rootkit Buster何以有侦测微软测试套件的行为。至于何以驱动程式被Windows 10 20H1/2004封锁，该公司表示是出于某个不相容问题。

趋势科技并表示，包括Rootkit Buster在内的所有安全软件都会正常运作。