Forum: PC-Programmierung Eigene Software wird vom Win-Defender sofort gelöscht

Frank E. schrieb:
> was kann ich DAU-verträglich mitteilen, um das abzustellen?

Ihm keine Malware liefern.

schau mal signieren von software

https://learn.microsoft.com/de-de/windows/msix/package/sign-app-package-using-signtool

https://www.heise.de/select/ct/2018/21/1539326207296836

Frank E. schrieb:
> Habt ihr ähnliche Probleme mit selbstgeschriebener Software

Nein, aber im Xojo-Forum wimmelt es von solchen Anfragen. Übrigens ganz 
oben in den Ergebnissen, wenn man Google nach "xojo defender" fragt.

Hatte ich auch schon mal gehabt.
Zwar nicht mit Xojo, aber ich hatte spezielle
Ressourcen ins Programm mit eingebunden. Z.B.
eine DLL kann man wunderbar in RC_DATA einbinden.
Hatte das damals gemacht, weil meine User die DLL öfter
(aus welchem Grund auch immer) gelöscht hatten und somit
das Programm Fehlermeldungen produzierte. Da hatte ich die
Idee, die DLL als Ressource einzubinden und sie beim Programmstart
immer wieder neu zu schreiben.

Ich würde da auch mal einen Resource-Hacker bemühen, der die
Ressourcen deiner .exe mal anzeigt.

Einen Versuch wäre es mal wert.

Eine Umgebung wie beim Kunden geben lassen,damit du das in Ruhe 
analysieren kannst?
Andere Version von Xojo verwenden?
Teile der Xojo software weglassen und so die Stelle einkreisen die 
Win-Defender knurren lässt?
nach Xojo Alternativen ausschau halten:
https://sourceforge.net/software/product/Xojo/alternatives ?

Frank E. schrieb:
> Habt ihr ähnliche Probleme mit selbstgeschriebener Software

Nö, Lazarus verwenden. Da gibt es solche Probleme nicht.

- Hast Du Dir ein Code-Signing-Zertifikat besorgt? Achte bitte drauf, 
dass die Zertifikate ein Ablaufdatum haben und Deine Software dann nicht 
mehr laeuft (nicht nur Installation). Brauchst also so eine Art Abo :-)

- Selbst wenn Du ein Zertifikat hast: Der Defender (oder die 
Microsoft-Datenbank) baut eine Art Reputation auf. In a Nutshell, wenn 
Deine SW haeufig installiert wird (und ohne Probleme), dann kannst Du 
die SW ohne Probleme installieren.

Als Apple-Nutzer sollte Dir diese Vorgehensweise (App-Store, Pruefung 
durch Apple) ja bekannt sein.

Gruesse

Th.

Thomas W. schrieb:
> - Selbst wenn Du ein Zertifikat hast: Der Defender (oder die
> Microsoft-Datenbank) baut eine Art Reputation auf. In a Nutshell, wenn
> Deine SW haeufig installiert wird (und ohne Probleme), dann kannst Du
> die SW ohne Probleme installieren.

Das kann man mit einem Extended Validation (EV)-Zertifikat umgehen. 
Gibts z.B. bei DigiCert, ist aber nochmal etwas teurer, und, weil i. d. 
R. an einen Hardwaretoken gebunden, etwas sperrig für CI-Pipelines.

Vielleicht ist ja auch die verwendete Installation von "xojo" mit ... 
Zusatzfunktionen "angereichert", die sich in den damit erzeugten 
Compilaten weiterverbreiten.

Dann ist es kein wirkliches Wunder, wenn Defender & Co. diese abräumen.

Wie wäre es, so ein Compilat mal bei virustotal hochzuladen?

Thomas W. schrieb:
> - Hast Du Dir ein Code-Signing-Zertifikat besorgt?

Die c't Heft 9 (08.04.2023 ab Seite 162) hat einen Artikel über 
Viren-Fehlalarme gemacht, der ist in diesem Zusammenhang lesenswert.

Da geht es nicht ausschließlich um den Defender, aber es wurde 
geschrieben, dass eine Signatur nicht geholfen hat. Sie haben dann in 
die Trickkiste der bösen Jungs gefasst ...

Thomas W. schrieb:
> Hast Du Dir ein Code-Signing-Zertifikat besorgt? Achte bitte drauf,
> dass die Zertifikate ein Ablaufdatum haben und Deine Software dann nicht
> mehr laeuft (nicht nur Installation). Brauchst also so eine Art Abo :-)

Nein, dafür gibt es Timestamps. Das fertige Binary enthält dann nicht 
nur eine nackte Signatur, sondern auch noch einen (durch eine TSA 
bestätigten) Timestamp. Was während der Gültigkeit des Zertifikats 
signiert wurde, bleibt also unbefristet nutzbar.

Aber man kann auch problemlos unsignierte Installer starten, es gibt 
dann halt eine Warnmeldung. Wenn der Defender direkt das Binary löscht, 
wird es fälschlicherweise als Malware erkannt, dann hilft auch keine 
Signatur.

Thomas W. schrieb:
> - Hast Du Dir ein Code-Signing-Zertifikat besorgt? Achte bitte
> drauf,
> dass die Zertifikate ein Ablaufdatum haben und Deine Software dann nicht
> mehr laeuft (nicht nur Installation). Brauchst also so eine Art Abo :-)
>
> - Selbst wenn Du ein Zertifikat hast: Der Defender (oder die
> Microsoft-Datenbank) baut eine Art Reputation auf. In a Nutshell, wenn
> Deine SW haeufig installiert wird (und ohne Probleme), dann kannst Du
> die SW ohne Probleme installieren.


Hmm ... es geht nicht darum, die Software in irgendwelchen Shops 
anzubieten, dazu ist sie viel zu speziell mit unseren Hardware-Projekten 
verbunden. Wir machen Einzelstücke, Prototypen und Miniserien (2..5 
Stück) von Messvorrichtugnen, Verkaufsautomaten oder digitale 
Museums-Exponate ... Deshalb hat mich die Intensität der Probleme im 
aktuellen Projekt auch so überrascht, hatte ich bisher noch nie und 
eigentlich auch gar keine Lust darauf (bin lieber kreativ) ... was für 
ein Scheiss ...

Frank E. schrieb:
> Habt ihr ähnliche Probleme mit selbstgeschriebener Software...

Ja, hatte ich, zweimal. Ein Umstieg auf einen anderen Compiler hat das 
Problem verschwinden lassen. War aber in C natürlich leichter als in 
Xojo.
Die Benutzung von 08/15-Tools hat eben auch ihre Vorteile.

Gruß Klaus (der soundsovielte)

> Die c't Heft 9 (08.04.2023 ab Seite 162)

>  Sie haben dann in
> die Trickkiste der bösen Jungs gefasst ...

Der Artikel scheint online (noch) nicht verfügbar, auch nicht für 
Abo-Leser.

Der Autor Peter Siering gibt an, mit zwei Verfahren getestet zu haben:
* Hochladen auf der website virustotal
* test mit scannern auf einem Laborrechner

Interessanterweise bringt das schon unterschiedliche Ergebnisse, 
virustotal kann zufrieden sein, während immer noch ein paar scanner 
meckern.

Letzlich hat man das Problm auf zwei API-Calls heruntergebrochen:
* EnumSystemFirmwareTables
* GetSysemFirmwareTable

Versuche diese beiden Aufrufe nicht direct aufzurufen sondern einen 
Zeiger über GetProcAddress nach LoadLibrary zu generieren und indirect 
aufzurufen halfen aber nicht.

Als Lösung wird der uralte Trick mit der Zip-datei beschrieben. Zitat:
... die beanstandenten Programme ... in ein Zip-Archiv verpackt und es 
mit einem trivialen Passwort geschützt. Das Script ... entpackt dieses 
Zip-Archiv wenn es diese Programme aufrufen muss - ... ist das nur noch 
in einer PE-Umgebung nötig und da läuft standardmäßig kein Virenscanner. 
...
Dieses Archiv entpackt ... erst, wenn er in einem Verzeichnis loslegt, 
das der Nutzer im Virenscanner mit einer Ausnahme versehen hat."

Das würde ich jetzt nicht als "Trickkiste der bösen Jungs bezeichnen", 
ein Paket als zip-datei an einen Virenscanner vorbeizuschmuggeln sollte 
doch Grundwissen sein.
Ich schicke meinen Kunden prinzipiell nur verschlüsselte Zip-dateien als 
minimalen Geheimnisschutz. Das Passwort wird mündlich bei Direktkontakt 
'übergeben'.

Hmmm schrieb:

> Aber man kann auch problemlos unsignierte Installer starten, es gibt
> dann halt eine Warnmeldung. Wenn der Defender direkt das Binary löscht,
> wird es fälschlicherweise als Malware erkannt, dann hilft auch keine
> Signatur.

Konkret ging es darum, dass beim Kunden der Defender sofort gelöscht 
hat, die erwähnte Frage kam garnicht erst. Inzwischen ist es wohl einem 
Kundigen vor Ort gelungen, den Defender so einzustellen, dass er erstmal 
fragt und man eine Ausnahme gestatten kann. Problem also erstmal gelöst.

Aus Xojo compilierte Projekte brauchen übrigens keinen "Installer". Es 
entsteht beim COmpilieren ein Ordner, der ein EXE- oder APP-File enthält 
und in einem weiteren Unterordner mit einigen DLLS bzw. Dylibs. Darüber 
hinaus gibt es keine Anhängigkeiten.

"Der Ordnung halber" kann man das Verzeichnis natürlich auch selbst in 
den jeweiligen Programme-Ordner kopieren, muss man aber nicht, läuft 
z.B. auch problemlos vom Desktop. Preferences werden in den jeweiligen 
dafür vorgesehenen "Spezialordner" des OS geschrieben. Das wird aber von 
Xojo automatisch "gewrappt", so ähnlich wie: 
"system.specialfolder.preferences ...", da muss ich mich als 
Programmierer nicht weiter darum kümmern.

DSGV-Violator schrieb:
> schau mal signieren von software

Hier wurde das Thema recht qualifiziert diskutiert:

Beitrag "Code Signierung"

Uwe

Hallo,

Frank E. schrieb:
> Konkret ging es darum, dass beim Kunden der Defender sofort gelöscht
> hat, die erwähnte Frage kam garnicht erst. Inzwischen ist es wohl einem
> Kundigen vor Ort gelungen, den Defender so einzustellen, dass er erstmal
> fragt und man eine Ausnahme gestatten kann. Problem also erstmal gelöst.

ich nutze Defender auf Win10 pro. Auf einem neu installierten Win10 hat 
der Defender beim Kopieren eine Datei als gefährlich eingestuft. Der 
Hineris kommt als Ino und steht im Info-Fenster wenn man reinschaut.
Unter Schutzverlauf wird auch die konkrete Date angezeigt, default wird 
in Quarantäe versschoben. Man kann die da auch direkt wiederherstellen, 
man kann auch problemlos eine Ausnahme einrichten für Dateien oder 
Ordner.
Ohne jeden Hinweis hat der Defender bei mir noch nie was entfernt.
Natürlich kann man das hinweis-Window übersehen, wird ja automatisch 
wieder ausgeblendet. Die Anzeige, daß es eine Benachrichtigung gibt, 
bleibt ja und da schaue ich eben schon rein. Benachrichtigungn steht bei 
mir auf "nur Alarme".

Verursacher war übrigens die .exe eine uralten selbstgeschriebenen 
VB6-Programms, das bemault MS über die Jahre immer mal wieder, dann ist 
es wieder lange ok.

Gruß aus Berlin
Michael

DSGV-Violator schrieb:
>> Die c't Heft 9 (08.04.2023 ab Seite 162)
> Der Artikel scheint online (noch) nicht verfügbar, auch nicht für
> Abo-Leser.

Ich habe die c't auf Papier. Das zugehörige Plus-Abo habe ich gekündigt, 
weil ich in dem chaotischen Webauftritt niemals etwas gefunden habe. 
Wenn doch mal, immer mit dem dämlichen Wasserzeichen.

Wer im Internet erfahren ist, findet, was er braucht (17 Mb):
https://novafile.org/file/pul2l067p0dc

> Der Autor Peter Siering gibt an, mit zwei Verfahren getestet zu haben:
> * Hochladen auf der website virustotal

Danke für Deine sehr gute Zusammenfassung!

DSGV-Violator schrieb:
> Das würde ich jetzt nicht als "Trickkiste der bösen Jungs bezeichnen"

Ich meine, dass so ähnlich oder sinngemäß im Artikel steht, weil Viren 
natürlich das gleiche Problem haben.

Manfred P. schrieb:
> Wer im Internet erfahren ist, findet, was er braucht (17 Mb):
> https://novafile.org/file/pul2l067p0dc

Ja, finden ist kein Problem. Nur der Download will nicht so ganz 
kostenlos vonstatten gehen - falls Du das uns suggerieren wolltest ...

Geht vollkommen kostenlos und ohne irgendwelche Anmeldedaten wie E-Mail 
u.ä., das sogar mit relativ hoher Downloadrate. Da hab ich schon sehr 
viel schlimmere Filehoster gesehen.

Jens G. schrieb:
> Ja, finden ist kein Problem.

Oder doch, gerade die bekannteste Plattform mit dem Dukatenscheißer im 
Namen verweist meist auf zahlungspflichtige Hoster.

> Nur der Download will nicht so ganz kostenlos vonstatten gehen
> - falls Du das uns suggerieren wolltest ...

Das wollte ich nicht suggerieren, sondern es hat hier klaglos 
funktioniert. Man muß aber genau schauen, was man anklickt.

Old schrieb:
> Geht vollkommen kostenlos und ohne irgendwelche Anmeldedaten wie E-Mail
> u.ä., das sogar mit relativ hoher Downloadrate.

Ja, es gibt langsamere.

> Da hab ich schon sehr viel schlimmere Filehoster gesehen.

Generell sind in diesem Bereich Adblocker und Filterproxy sehr 
hilfreich.

Der relevante Beitrag (470kb):
https://filehorst.de/d/eynBbihw