Umsatz? Was für Umsatz?

Das ganze ist die Freizeitarbeit einer Jugendgruppe, die Downloads sind natürlich kostenlos. Das bei anderen Entwicklungumgebungen das Problem auch besteht ist ja dank Microsoft gesichert.

creehawk

Es ist aber auch gut so, dass der Benutzer gewarnt wird, wenn er eine Exe herunterlädt, die noch kaum jemand heruntergeladen hat und auch keine Signatur hat. Daran ist ja erst einmal nichts falsch.

Man muss das eben ggf. auf der Downloadseite erklären, dass das keine Virenwarnung ist, sondern lediglich eine Warnung, weil die Software kaum verbreitet ist. Und wenn diese ein paarmal heruntergeladen wurde (von PCs, an denen es erlaubt ist, dass sie mit Microsoft reden, manche blockieren das ja leider), dann verschwindet irgendwann auch diese Meldung.

Eine Möglichkeit ist auch, die Software als Open Source zu veröffentlichen. Dann kann sie jeder, der misstrauisch ist, auch selbst erstellen. Und das kann man ja auch dazuschreiben.

Ich habe just vor ein paar Tagen ein mit Delphi 6 erzeugtes Programm neu übersetzt. Die alte Version, geht ohne jegliche stänkerei seitens WinDefender (unter Win11) auszuführen.
Die neue (mit Delphi 11 erzeugt) kassiert WinDefender auf dem gleichen System beim entpacken aus einem Zip (mit senden an zip, auf einem Win10 Rechner erstellt) direkt ein, mit dem Hinweis dass die Welt gerettet wurde.

Ich habe das Programm (vom Win10 Rechner aus) mal bei Virustotal hochgeladen (wer nachgucken will : 935a4217aef8435570cfe52949da3d870da121129c574611c0 e1fd231d1d7361)
Nur Microsoft und VBA32 sagen "bobsoft" basierter trojaner. Was auch immer das sein soll.

u.A. sowas wie UPX


Wie schon erwähnt wurde, fügen ordentliche Browser/Programme beim Download an Dateien ein Flag "wurde runtergeladen" an,
was dann bei EXE, ZIP uvm. später beachtet wird und wo diese Dateien dann gesondert/zusätzlich geprüft werden.
Und "ordentiche" Entpacker fügen dieses Flag wiederum an alle Dateien an, wenn die ZIP jenes Flag hatte. (7-Zip hält sich aber nicht immer schön an vorgeschriebene Windwowsgepflogenheiten)

Und unglücklicherweise ist Delphi - so scheint's - bei Malwareprogrammierern sehr beliebt, weswegen gefühlt schon die "Embarcadero" Strings in der EXE bei vielen Scannern die Alarmglöckchen in Klingelbereitschaft bringen.

Danke, Himitsu. Wiedermal was gelernt. Das bringt zumindest etwas Licht ins Dunkel.
Werde ich wohl mit 7Zip packen und nochmal probieren.

Off topic "just a little more details on this part":
It is not a flag, although it is shown as flag in the file property with Windows Explorer

But in fact it is an Alternative Data Stream (ADS), a hidden stream (not really hidden but simply not visible out of the box) attached to a file and specific to NTFS, this "flag"/Stream in particular is name specified and fixed as "Zone.Identifier:$DATA" and its content is full ini file structure, to see it you can use "more" in console like this

As seen above my browser added the download link and the referrer, this is not the case with all the application that do that, also the ZoneId number is coming form Internet Option in Windows.

ps: yes you can see your old downloaded files original links so stick to downloading video from YouTube or remove the links

And yes one more thing about this ADS

You can hide files, yes multiple files in one file, like you can have one txt file with 2 byte in length but it have attached streams to it, where each stream is a file, and will not be visible unless you know what are you looking for, the file property will show the txt file size as 2 bytes, but size on disk a combination of its size and all its streams, so there will be huge difference not just page/cluster alignment.

you can also run an executable (EXE) directly from a stream !

These streams are reserved and Windows will copy them and move them as long the file is local, backup and restore also will reserve them, they will be lost in many cases with network or RDP.. 3rd party packers most likely will not reserve them, unless it is an archiving software like Acronis...

Und wenn wir schon darüber sprechen: Diese Streams können nicht auf jedem Dateisystem gespeichert werden. Ursprünglich gab es sie nur auf NTFS, aber ich glaube, das wurde später erweitert. Auf FAT gibt es sie aber auch jetzt nicht.

Sprich: Wenn man vergessen hat, was man tun muss um diese Information zu löschen, kann man eine solche Datei auf einen FAT-formatierten Datenträger verschieben und dann wieder zurück. Danach ist der zusätzliche Stream dann weg.

Right, and there is Streams deletion tool from Sysinternals https://learn.microsoft.com/en-us/sy...nloads/streams

Also found this nice article listing few fun manipulation with File Streams
https://www.minitool.com/partition-d...a-streams.html