趨勢科技軟體驅動程式在微軟認證測試中作弊，被列入Windows 10黑名單

趨勢科技一項安全產品驅動程式，被發現在微軟認證測試時採取不誠實作法，而遭微軟列入封鎖名單，將不得安裝於Windows 10電腦上，不過趨勢科技否認有作弊行為。

安全專家Alex Ionescu昨（28）日發現，趨勢科技的安全產品Rootkit Buster一項驅動程式tmcomm.sys，被加入微軟Windows 10 20H1(即2004版)的驅動程式封鎖名單，這表示它被排除在最新版Windows 10更新，而且是20H1才將之封鎖。巧合的是，《The Register》發現，趨勢科技也在周末將產品從官網下架。

事情可能和安全研究人員Bill Demirkapi的一項發現有關。他發現，Rookit Buster的tmcomm.sys有違反微軟Windows硬體品質實驗室（Windows Hardware Quality Labs，WHQL）認證測試規範的行為。

通過認證測試要求的軟體可以獲得微軟簽章，並經由Windows Update部署到廣大用戶電腦上。這項測試對驅動程式的一項要求是，驅動程式只能從Windows的RAM非執行（non executable）非分頁集區（non-paged pool）呼叫記憶體資源，以免惡意程式碼注入到驅動程式記憶體被攻擊者執行。

Demirkapi發現趨勢科技的tmcomm.sys會偵測它跑的電腦是否顯示正在進行WHQL的測試軟體driver verifier。如果偵測到，它就會從非執行區呼叫資源，但如果沒偵測到這個軟體，就會從執行區的非分頁集區呼叫，這是違反微軟規定的。至於趨勢科技為什麼這麼做不得而知，研究人員猜測是因驅動程式無法符合微軟規定，但為了通過測試選而作弊。

趨勢科技否認有作弊行為，表示公司一向和微軟密切合作以確保通過嚴格的標準，不過並未說明其Rootkit Buster何以有偵測微軟測試套件的行為。至於何以驅動程式被Windows 10 20H1/2004封鎖，該公司表示是出於某個不相容問題。

趨勢科技並表示，包括Rootkit Buster在內的所有安全軟體都會正常運作。