如何使用我的 CPU 挖掘门罗币并避免被我的防病毒软件标记？

了解防病毒误报

1. 像 XMRig 这样的加密货币挖掘软件经常被防病毒引擎误识别为恶意软件。发生这种情况并不是因为代码是恶意的，而是由于行为启发法将高 CPU 使用率、进程注入以及与已知矿池的网络连接与恶意活动相关联。

2. 检测逻辑依赖于基于签名和运行时模式匹配——这两者都与合法的挖掘行为严重重叠。开源矿工尤其容易受到此影响，因为他们的二进制文件在威胁情报平台上广泛分布和分析。

3. Microsoft Defender、Bitdefender 和 Kaspersky 均发布了公共公告，确认 XMRig 二进制文件即使直接从xmrig.com下载且未进行任何修改或混淆也会触发警报。

4. 无论矿工是在前台模式、作为 Windows 服务还是在 WSL2 下运行，这些检测都会持续存在，这表明分类植根于静态工件分析而不是动态执行上下文。

5. 没有官方防病毒供应商为挖掘工具提供选择退出白名单，这意味着用户必须在安装过程中手动配置排除或禁用实时扫描，这一步骤需要管理权限和精确的路径规范。

安全安装实践

1. 始终直接从其官方 GitHub 存储库（ https://github.com/xmrig/xmrig/releases ）下载 XMRig，避免使用可能注入额外负载的第三方镜像或捆绑安装程序。

2. 使用维护者提供的 GPG 签名验证每个版本的完整性。公钥指纹发布在项目的自述文件中，并且应与gpg --verify xmrig-xxx-x64.zip.asc的输出匹配。

3. 将存档解压到系统路径之外的专用目录中，例如C:\Windows 、 C:\Program Files或由 CrowdStrike 或 SentinelOne 等端点检测系统监控的任何文件夹。

4. 将可执行文件从xmrig.exe重命名为不那么指示性的名称（例如sysmon.exe或hwprobe.exe ），同时确保它不会与现有 Windows 系统二进制文件冲突。

5.在启动挖矿程序之前禁用Windows Defender的受控文件夹访问，并通过设置>更新和安全> Windows安全>病毒和威胁防护>管理设置>添加或删除排除将整个安装文件夹添加到排除列表中。

运行时配置调整

1. 使用--no-huge-pages标志启动 XMRig，以避免触发 EDR 代理用于检测加密挖矿工作负载的内存映射启发式方法。

2. 使用--cpu-max-threads-hint=4显式设置线程关联性，而不是允许完全利用核心，从而降低行为分析标记的持续 95% 以上 CPU 负载模式的可能性。

3. 使用--randomx-no-rdmsr选项抑制特定于模型的寄存器读取，这是一种通常与低级硬件利用相关的技术，并且通常由基于管理程序的安全层记录。

4. 将矿工配置为通过启用 TLS 的 Stratum 端口（例如pool.minexmr.com:4444 ）而不是明文端点进行连接，从而防止深度数据包检查根据协议指纹识别挖掘流量。

5.避免在SYSTEM或LOCAL SERVICE账户下运行矿机；相反，创建一个具有最小权限的标准用户帐户，并在该上下文中以交互方式运行 XMRig。

常见问题及解答

问：我可以在公司管理的笔记本电脑上使用 XMRig 而不会触发 IT 警报吗？答：不可靠。企业端点保护套件主动监控进程创建、父子关系和注册表持久性机制。即使从非标准路径启动的签名二进制文件也会生成记录到中央 SIEM 系统的遥测事件。

问：从源代码编译 XMRig 是否会降低防病毒检测率？答： 勉强可以。虽然自定义构建绕过了一些基于哈希的签名，但现代反病毒引擎应用了在编译器工件、符号表和控制流图上训练的机器学习模型，使得从源代码编译的变体仍然高度可检测。

问：有没有办法验证我的防病毒软件是否已静默阻止 XMRig？答：是的。检查“应用程序和服务日志”>“Microsoft”>“Windows”>“Windows Defender”>“操作”下的 Windows 事件查看器中是否有事件 ID 1116，该事件使用 SHA-256 哈希记录阻止的执行。

问：如果我忽略防病毒警告并强制运行 XMRig，会发生什么情况？答：二进制文件最初可能会执行，但很可能会在几秒钟内被实时保护模块终止。一些供应商部署执行后补救措施，删除文件、回滚注册表更改并终止矿工生成的子进程。