Von mir geschriebene Windows-Software (mit Xojo compiliert) wird bei einem Kunden sofort vom Windows-Defender "gekillt" (gelöscht). Die von mir wenigstens erwartete Nachfrage "Löschen oder zulassen?" kommt garnicht erst. Nun bin ich nicht so der Windows-Kenner, dass ich sofort eine Lösung wüsste, zumindest keine, die ich dem Kunden anbieten kann. Ich würde ja kurzerhand Defender-Control nehmen :-) Habt ihr ähnliche Probleme mit selbstgeschriebener Software und was kann ich DAU-verträglich mitteilen, um das abzustellen? Danke für Tips.
Frank E. schrieb: > was kann ich DAU-verträglich mitteilen, um das abzustellen? Ihm keine Malware liefern.
schau mal signieren von software https://learn.microsoft.com/de-de/windows/msix/package/sign-app-package-using-signtool https://www.heise.de/select/ct/2018/21/1539326207296836
Frank E. schrieb: > Habt ihr ähnliche Probleme mit selbstgeschriebener Software Nein, aber im Xojo-Forum wimmelt es von solchen Anfragen. Übrigens ganz oben in den Ergebnissen, wenn man Google nach "xojo defender" fragt.
Hatte ich auch schon mal gehabt. Zwar nicht mit Xojo, aber ich hatte spezielle Ressourcen ins Programm mit eingebunden. Z.B. eine DLL kann man wunderbar in RC_DATA einbinden. Hatte das damals gemacht, weil meine User die DLL öfter (aus welchem Grund auch immer) gelöscht hatten und somit das Programm Fehlermeldungen produzierte. Da hatte ich die Idee, die DLL als Ressource einzubinden und sie beim Programmstart immer wieder neu zu schreiben. Ich würde da auch mal einen Resource-Hacker bemühen, der die Ressourcen deiner .exe mal anzeigt. Einen Versuch wäre es mal wert.
Eine Umgebung wie beim Kunden geben lassen,damit du das in Ruhe analysieren kannst? Andere Version von Xojo verwenden? Teile der Xojo software weglassen und so die Stelle einkreisen die Win-Defender knurren lässt? nach Xojo Alternativen ausschau halten: https://sourceforge.net/software/product/Xojo/alternatives ?
Frank E. schrieb: > Habt ihr ähnliche Probleme mit selbstgeschriebener Software Nö, Lazarus verwenden. Da gibt es solche Probleme nicht.
- Hast Du Dir ein Code-Signing-Zertifikat besorgt? Achte bitte drauf, dass die Zertifikate ein Ablaufdatum haben und Deine Software dann nicht mehr laeuft (nicht nur Installation). Brauchst also so eine Art Abo :-) - Selbst wenn Du ein Zertifikat hast: Der Defender (oder die Microsoft-Datenbank) baut eine Art Reputation auf. In a Nutshell, wenn Deine SW haeufig installiert wird (und ohne Probleme), dann kannst Du die SW ohne Probleme installieren. Als Apple-Nutzer sollte Dir diese Vorgehensweise (App-Store, Pruefung durch Apple) ja bekannt sein. Gruesse Th.
:
Bearbeitet durch User
Thomas W. schrieb: > - Selbst wenn Du ein Zertifikat hast: Der Defender (oder die > Microsoft-Datenbank) baut eine Art Reputation auf. In a Nutshell, wenn > Deine SW haeufig installiert wird (und ohne Probleme), dann kannst Du > die SW ohne Probleme installieren. Das kann man mit einem Extended Validation (EV)-Zertifikat umgehen. Gibts z.B. bei DigiCert, ist aber nochmal etwas teurer, und, weil i. d. R. an einen Hardwaretoken gebunden, etwas sperrig für CI-Pipelines.
Vielleicht ist ja auch die verwendete Installation von "xojo" mit ... Zusatzfunktionen "angereichert", die sich in den damit erzeugten Compilaten weiterverbreiten. Dann ist es kein wirkliches Wunder, wenn Defender & Co. diese abräumen. Wie wäre es, so ein Compilat mal bei virustotal hochzuladen?
Thomas W. schrieb: > - Hast Du Dir ein Code-Signing-Zertifikat besorgt? Die c't Heft 9 (08.04.2023 ab Seite 162) hat einen Artikel über Viren-Fehlalarme gemacht, der ist in diesem Zusammenhang lesenswert. Da geht es nicht ausschließlich um den Defender, aber es wurde geschrieben, dass eine Signatur nicht geholfen hat. Sie haben dann in die Trickkiste der bösen Jungs gefasst ...
Thomas W. schrieb: > Hast Du Dir ein Code-Signing-Zertifikat besorgt? Achte bitte drauf, > dass die Zertifikate ein Ablaufdatum haben und Deine Software dann nicht > mehr laeuft (nicht nur Installation). Brauchst also so eine Art Abo :-) Nein, dafür gibt es Timestamps. Das fertige Binary enthält dann nicht nur eine nackte Signatur, sondern auch noch einen (durch eine TSA bestätigten) Timestamp. Was während der Gültigkeit des Zertifikats signiert wurde, bleibt also unbefristet nutzbar. Aber man kann auch problemlos unsignierte Installer starten, es gibt dann halt eine Warnmeldung. Wenn der Defender direkt das Binary löscht, wird es fälschlicherweise als Malware erkannt, dann hilft auch keine Signatur.
Thomas W. schrieb: > - Hast Du Dir ein Code-Signing-Zertifikat besorgt? Achte bitte > drauf, > dass die Zertifikate ein Ablaufdatum haben und Deine Software dann nicht > mehr laeuft (nicht nur Installation). Brauchst also so eine Art Abo :-) > > - Selbst wenn Du ein Zertifikat hast: Der Defender (oder die > Microsoft-Datenbank) baut eine Art Reputation auf. In a Nutshell, wenn > Deine SW haeufig installiert wird (und ohne Probleme), dann kannst Du > die SW ohne Probleme installieren. Hmm ... es geht nicht darum, die Software in irgendwelchen Shops anzubieten, dazu ist sie viel zu speziell mit unseren Hardware-Projekten verbunden. Wir machen Einzelstücke, Prototypen und Miniserien (2..5 Stück) von Messvorrichtugnen, Verkaufsautomaten oder digitale Museums-Exponate ... Deshalb hat mich die Intensität der Probleme im aktuellen Projekt auch so überrascht, hatte ich bisher noch nie und eigentlich auch gar keine Lust darauf (bin lieber kreativ) ... was für ein Scheiss ...
Frank E. schrieb: > Habt ihr ähnliche Probleme mit selbstgeschriebener Software... Ja, hatte ich, zweimal. Ein Umstieg auf einen anderen Compiler hat das Problem verschwinden lassen. War aber in C natürlich leichter als in Xojo. Die Benutzung von 08/15-Tools hat eben auch ihre Vorteile. Gruß Klaus (der soundsovielte)
> Die c't Heft 9 (08.04.2023 ab Seite 162) > Sie haben dann in > die Trickkiste der bösen Jungs gefasst ... Der Artikel scheint online (noch) nicht verfügbar, auch nicht für Abo-Leser. Der Autor Peter Siering gibt an, mit zwei Verfahren getestet zu haben: * Hochladen auf der website virustotal * test mit scannern auf einem Laborrechner Interessanterweise bringt das schon unterschiedliche Ergebnisse, virustotal kann zufrieden sein, während immer noch ein paar scanner meckern. Letzlich hat man das Problm auf zwei API-Calls heruntergebrochen: * EnumSystemFirmwareTables * GetSysemFirmwareTable Versuche diese beiden Aufrufe nicht direct aufzurufen sondern einen Zeiger über GetProcAddress nach LoadLibrary zu generieren und indirect aufzurufen halfen aber nicht. Als Lösung wird der uralte Trick mit der Zip-datei beschrieben. Zitat: ... die beanstandenten Programme ... in ein Zip-Archiv verpackt und es mit einem trivialen Passwort geschützt. Das Script ... entpackt dieses Zip-Archiv wenn es diese Programme aufrufen muss - ... ist das nur noch in einer PE-Umgebung nötig und da läuft standardmäßig kein Virenscanner. ... Dieses Archiv entpackt ... erst, wenn er in einem Verzeichnis loslegt, das der Nutzer im Virenscanner mit einer Ausnahme versehen hat." Das würde ich jetzt nicht als "Trickkiste der bösen Jungs bezeichnen", ein Paket als zip-datei an einen Virenscanner vorbeizuschmuggeln sollte doch Grundwissen sein. Ich schicke meinen Kunden prinzipiell nur verschlüsselte Zip-dateien als minimalen Geheimnisschutz. Das Passwort wird mündlich bei Direktkontakt 'übergeben'.
:
Bearbeitet durch User
Hmmm schrieb: > Aber man kann auch problemlos unsignierte Installer starten, es gibt > dann halt eine Warnmeldung. Wenn der Defender direkt das Binary löscht, > wird es fälschlicherweise als Malware erkannt, dann hilft auch keine > Signatur. Konkret ging es darum, dass beim Kunden der Defender sofort gelöscht hat, die erwähnte Frage kam garnicht erst. Inzwischen ist es wohl einem Kundigen vor Ort gelungen, den Defender so einzustellen, dass er erstmal fragt und man eine Ausnahme gestatten kann. Problem also erstmal gelöst. Aus Xojo compilierte Projekte brauchen übrigens keinen "Installer". Es entsteht beim COmpilieren ein Ordner, der ein EXE- oder APP-File enthält und in einem weiteren Unterordner mit einigen DLLS bzw. Dylibs. Darüber hinaus gibt es keine Anhängigkeiten. "Der Ordnung halber" kann man das Verzeichnis natürlich auch selbst in den jeweiligen Programme-Ordner kopieren, muss man aber nicht, läuft z.B. auch problemlos vom Desktop. Preferences werden in den jeweiligen dafür vorgesehenen "Spezialordner" des OS geschrieben. Das wird aber von Xojo automatisch "gewrappt", so ähnlich wie: "system.specialfolder.preferences ...", da muss ich mich als Programmierer nicht weiter darum kümmern.
:
Bearbeitet durch User
DSGV-Violator schrieb: > schau mal signieren von software Hier wurde das Thema recht qualifiziert diskutiert: Beitrag "Code Signierung" Uwe
Hallo, Frank E. schrieb: > Konkret ging es darum, dass beim Kunden der Defender sofort gelöscht > hat, die erwähnte Frage kam garnicht erst. Inzwischen ist es wohl einem > Kundigen vor Ort gelungen, den Defender so einzustellen, dass er erstmal > fragt und man eine Ausnahme gestatten kann. Problem also erstmal gelöst. ich nutze Defender auf Win10 pro. Auf einem neu installierten Win10 hat der Defender beim Kopieren eine Datei als gefährlich eingestuft. Der Hineris kommt als Ino und steht im Info-Fenster wenn man reinschaut. Unter Schutzverlauf wird auch die konkrete Date angezeigt, default wird in Quarantäe versschoben. Man kann die da auch direkt wiederherstellen, man kann auch problemlos eine Ausnahme einrichten für Dateien oder Ordner. Ohne jeden Hinweis hat der Defender bei mir noch nie was entfernt. Natürlich kann man das hinweis-Window übersehen, wird ja automatisch wieder ausgeblendet. Die Anzeige, daß es eine Benachrichtigung gibt, bleibt ja und da schaue ich eben schon rein. Benachrichtigungn steht bei mir auf "nur Alarme". Verursacher war übrigens die .exe eine uralten selbstgeschriebenen VB6-Programms, das bemault MS über die Jahre immer mal wieder, dann ist es wieder lange ok. Gruß aus Berlin Michael
DSGV-Violator schrieb: >> Die c't Heft 9 (08.04.2023 ab Seite 162) > Der Artikel scheint online (noch) nicht verfügbar, auch nicht für > Abo-Leser. Ich habe die c't auf Papier. Das zugehörige Plus-Abo habe ich gekündigt, weil ich in dem chaotischen Webauftritt niemals etwas gefunden habe. Wenn doch mal, immer mit dem dämlichen Wasserzeichen. Wer im Internet erfahren ist, findet, was er braucht (17 Mb): https://novafile.org/file/pul2l067p0dc > Der Autor Peter Siering gibt an, mit zwei Verfahren getestet zu haben: > * Hochladen auf der website virustotal Danke für Deine sehr gute Zusammenfassung! DSGV-Violator schrieb: > Das würde ich jetzt nicht als "Trickkiste der bösen Jungs bezeichnen" Ich meine, dass so ähnlich oder sinngemäß im Artikel steht, weil Viren natürlich das gleiche Problem haben.
Manfred P. schrieb: > Wer im Internet erfahren ist, findet, was er braucht (17 Mb): > https://novafile.org/file/pul2l067p0dc Ja, finden ist kein Problem. Nur der Download will nicht so ganz kostenlos vonstatten gehen - falls Du das uns suggerieren wolltest ...
:
Bearbeitet durch User
Geht vollkommen kostenlos und ohne irgendwelche Anmeldedaten wie E-Mail u.ä., das sogar mit relativ hoher Downloadrate. Da hab ich schon sehr viel schlimmere Filehoster gesehen.
Jens G. schrieb: > Ja, finden ist kein Problem. Oder doch, gerade die bekannteste Plattform mit dem Dukatenscheißer im Namen verweist meist auf zahlungspflichtige Hoster. > Nur der Download will nicht so ganz kostenlos vonstatten gehen > - falls Du das uns suggerieren wolltest ... Das wollte ich nicht suggerieren, sondern es hat hier klaglos funktioniert. Man muß aber genau schauen, was man anklickt. Old schrieb: > Geht vollkommen kostenlos und ohne irgendwelche Anmeldedaten wie E-Mail > u.ä., das sogar mit relativ hoher Downloadrate. Ja, es gibt langsamere. > Da hab ich schon sehr viel schlimmere Filehoster gesehen. Generell sind in diesem Bereich Adblocker und Filterproxy sehr hilfreich. Der relevante Beitrag (470kb): https://filehorst.de/d/eynBbihw
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.