ZIP und Windows Defender
 

Ein schlichtes Programm wie ich schon etliche gemacht habe. Release, Exe Datei fertig, gepackt mit 7zip. (win11)

Zielrechner : entpacken (win11) klappt. Programm starten auch, der Defender nöhlt rum das der Windows und der Rest der Welt umgehend explodiert wenn er, der Defender den Rechner nicht schützt.

Ich habe nicht den geringsten Dunst was da los ist.

Gibt es Einstellungen von denen bekannt ist das da Probleme auftauchen?

creehawk

Und wie ich eben feststelle macht er das bei 7z Format nicht....??????????

AW: ZIP und Windows Defender
 

Entpackst du bei beiden Formaten mit 7zip?

Was der Defender macht, lässt sich aber schlecht nachvollziehen. Was genau meldet er denn?

AW: ZIP und Windows Defender
 

Also als erstes MUSS Windows Defender einen Sicherheitscheck in der Cloud machen wird mir mitgeteilt.

Dann kommt die Meldung ob man das Programm trotzdem ausführen möchte - allerdings ohne jeden Hinweis was da denn nicht in Ordnung ist.

Ich hatt die aktuelle Version des schlichten Programms im Explorer mit "komprimieren mit" gepackt und wieder entpackt und gestartet. Abgang.

Ich habe eine frühere Version -.exe des schlichten Programmes aus 2023 im Explorer mit "komprimieren mit" gepackt und wieder entpackt und gestartet. Kein Problem.

7zip benutze ich eher selten, hier nur Verzweiflung.

creehawk

P.S. ich nutze Win 11

AW: ZIP und Windows Defender
 

Tja.

Nix geht mehr. Selbst zip Dateien von 2021 werden als Gefahr für die Menschheit erkannt - wenn eine .exe drin ist.

Also eine .exe, erzeugt mit der aktuellen Community Edition.

"************************". --> gestrichen, sowas gehört hier nicht her

creehawk

AW: ZIP und Windows Defender
 

das liegt nicht am Alter der Datei selbst, sondern am Alter der Datei auf dem Rechner.

"neues" kennt der nicht, will erstmal online nachsehn, ob es schon wer kennt und ob die es als Böse erachten.


Und wie bereits mehrmals erwähnt, scheint er signierte und verifizierbare Dateien "erstmal" weniger schlecht einzustufen, also weniger stark reagieren.


Der Cloud-Check : es wird wohl ein Hash der Datei hochgeladen,
dann wird bis zu 30 Sekunden auf die Antwort gewartet.
* wenn ein "nicht schlecht" zurück kommt, dann wird "sofort" gestartet
* ist die Cloud ausgelasete, dann wird nach 30 Sekunden dennoch gestartet
* kommt ein "böse" zurück, dann wird blockiert

Ich habe aber das Gefühl, als wenn er manchmal erst mehrfach blockiert und dann beim x-ten Startversuch es durchlässt.

AW: ZIP und Windows Defender
 

Diese Cloud Geschichte hatte ich schon irgendwo gelesen, okay, sollte aber ja wohl irgendwann vorbei sein.


Die Warnung erscheint

bei .exe Dateien aus 2017 (Delphi 7) nicht.

bei .exe Dateien aus 2018 (Delphi 9) nicht.

Eine eben erzeugte .exe (Hallo Welt!) interessiert ihn auch nicht.

Irgendwas steckt in den .exe der Version 11 das Defender als ekelig interpretiert. Ich habe 17 Dateien zum Download, 14 Monate Arbeit. Wenn irgendein unbedarfter Downloader die Meldung sieht ...hat den Computer geschützt... ist Ende. Das spricht sich rum.

Toll.

Ich habe keine Ahnung was ich da mchen soll.


creehwak

AW: ZIP und Windows Defender
 

Die übliche "Empfehlung": Executable signieren. Kostet Geld, aber stellt den Virenscanner ruhig.

(Mir persönlich ist das zu teuer.)

AW: ZIP und Windows Defender
 

Wenn du in die Dateieigenschaften auf die erste Seite schaust:
Gibt es da unten einen Sicherheitshinweis, dass die Exe von einem anderen Rechner stammt und der Zugriff aus Sicherheitsgründen eventuell blockiert wurde?
Anhang 57054

Der Grund, dass es mit 7zip das Problem nicht gibt, ist schlicht, dass dieses die Exe beim Auspacken aus einem so markierten Zip nicht ebenfalls entsprechend markiert (was ein Sicherheitsproblem sein kann).

Nach der ersten Überprüfung beim ersten Starten der Exe sollte dieses Flag dann verschwunden sein. Bei mir wird dabei auch keine besondere Meldung angezeigt. Da kommt nur die Meldung, dass der Computer geschützt wurde und der Start einer unbekannten App verhindert wurde. Das ist bei unsignierten nicht weit verbreiteten Exen aber vollkommen normal.

AW: ZIP und Windows Defender
 

Gut.

Hilft alles nix. Nach längerer Sucherei ist klar : wenn die .exe nicht signiert oder weltberühmt ist kommt der Anwender Killer. Kein durchschnittliche begabter Anwender installiert etwas wenn da steht "Volle Deckung", egal für was für ein Programm.

Viele Diskussionen hier im Hause was man macht. Executable Dateien anbieten scheidet aus. Was mache ich also mit Delphi?
Nix. Wegerfen. Was soll ich mit dem Unfug.

creehawk

AW: ZIP und Windows Defender
 

Also, ich signiere meine Dateien in der Regel mit einem entsprechenden Zertifikat. Die Kosten dafür sind gemessen am Gesamtumsatz vernachlässigbar.

Ob das Problem mit anderen Entwicklungsumgebungen wirklich verschwindet, würde ich aber auch nicht als gesichert annehmen. Die Kosten für eine Umstellung würde ich aber schon als deutlich höher einstufen als die für ein Zertifikat.

AW: ZIP und Windows Defender
 

Umsatz? Was für Umsatz?

Das ganze ist die Freizeitarbeit einer Jugendgruppe, die Downloads sind natürlich kostenlos. Das bei anderen Entwicklungumgebungen das Problem auch besteht ist ja dank Microsoft gesichert.

creehawk

AW: ZIP und Windows Defender
 

Es ist aber auch gut so, dass der Benutzer gewarnt wird, wenn er eine Exe herunterlädt, die noch kaum jemand heruntergeladen hat und auch keine Signatur hat. Daran ist ja erst einmal nichts falsch.

Man muss das eben ggf. auf der Downloadseite erklären, dass das keine Virenwarnung ist, sondern lediglich eine Warnung, weil die Software kaum verbreitet ist. Und wenn diese ein paarmal heruntergeladen wurde (von PCs, an denen es erlaubt ist, dass sie mit Microsoft reden, manche blockieren das ja leider), dann verschwindet irgendwann auch diese Meldung.

Eine Möglichkeit ist auch, die Software als Open Source zu veröffentlichen. Dann kann sie jeder, der misstrauisch ist, auch selbst erstellen. Und das kann man ja auch dazuschreiben.

AW: ZIP und Windows Defender
 

Ich habe just vor ein paar Tagen ein mit Delphi 6 erzeugtes Programm neu übersetzt. Die alte Version, geht ohne jegliche stänkerei seitens WinDefender (unter Win11) auszuführen.
Die neue (mit Delphi 11 erzeugt) kassiert WinDefender auf dem gleichen System beim entpacken aus einem Zip (mit senden an zip, auf einem Win10 Rechner erstellt) direkt ein, mit dem Hinweis dass die Welt gerettet wurde.

Ich habe das Programm (vom Win10 Rechner aus) mal bei Virustotal hochgeladen (wer nachgucken will : 935a4217aef8435570cfe52949da3d870da121129c574611c0 e1fd231d1d7361)
Nur Microsoft und VBA32 sagen "bobsoft" basierter trojaner. Was auch immer das sein soll.

AW: ZIP und Windows Defender
 

u.A. sowas wie UPX


Wie schon erwähnt wurde, fügen ordentliche Browser/Programme beim Download an Dateien ein Flag "wurde runtergeladen" an,
was dann bei EXE, ZIP uvm. später beachtet wird und wo diese Dateien dann gesondert/zusätzlich geprüft werden.
Und "ordentiche" Entpacker fügen dieses Flag wiederum an alle Dateien an, wenn die ZIP jenes Flag hatte. (7-Zip hält sich aber nicht immer schön an vorgeschriebene Windwowsgepflogenheiten)

AW: ZIP und Windows Defender
 

Und unglücklicherweise ist Delphi - so scheint's - bei Malwareprogrammierern sehr beliebt, weswegen gefühlt schon die "Embarcadero" Strings in der EXE bei vielen Scannern die Alarmglöckchen in Klingelbereitschaft bringen.

AW: ZIP und Windows Defender
 

Danke, Himitsu. Wiedermal was gelernt. Das bringt zumindest etwas Licht ins Dunkel.
Werde ich wohl mit 7Zip packen und nochmal probieren.

AW: ZIP und Windows Defender
 

Off topic "just a little more details on this part":
It is not a flag, although it is shown as flag in the file property with Windows Explorer
Anhang 57055
But in fact it is an Alternative Data Stream (ADS), a hidden stream (not really hidden but simply not visible out of the box) attached to a file and specific to NTFS, this "flag"/Stream in particular is name specified and fixed as "Zone.Identifier:$DATA" and its content is full ini file structure, to see it you can use "more" in console like this

As seen above my browser added the download link and the referrer, this is not the case with all the application that do that, also the ZoneId number is coming form Internet Option in Windows.

ps: yes you can see your old downloaded files original links ;) so stick to downloading video from YouTube or remove the links ;)

AW: ZIP und Windows Defender
 

And yes one more thing about this ADS

You can hide files, yes multiple files in one file, like you can have one txt file with 2 byte in length but it have attached streams to it, where each stream is a file, and will not be visible unless you know what are you looking for, the file property will show the txt file size as 2 bytes, but size on disk a combination of its size and all its streams, so there will be huge difference not just page/cluster alignment.

you can also run an executable (EXE) directly from a stream !

These streams are reserved and Windows will copy them and move them as long the file is local, backup and restore also will reserve them, they will be lost in many cases with network or RDP.. 3rd party packers most likely will not reserve them, unless it is an archiving software like Acronis...

AW: ZIP und Windows Defender
 

Und wenn wir schon darüber sprechen: Diese Streams können nicht auf jedem Dateisystem gespeichert werden. Ursprünglich gab es sie nur auf NTFS, aber ich glaube, das wurde später erweitert. Auf FAT gibt es sie aber auch jetzt nicht.

Sprich: Wenn man vergessen hat, was man tun muss um diese Information zu löschen, kann man eine solche Datei auf einen FAT-formatierten Datenträger verschieben und dann wieder zurück. Danach ist der zusätzliche Stream dann weg.

AW: ZIP und Windows Defender
 

Right, and there is Streams deletion tool from Sysinternals https://learn.microsoft.com/en-us/sy...nloads/streams

Also found this nice article listing few fun manipulation with File Streams
https://www.minitool.com/partition-d...a-streams.html

AW: ZIP und Windows Defender
 

ReFS sollte ADS auch können
und teilweise kann es auch SAMBA, wo je nach Zielsystem es eventuell auch gespeichert wird.

z.B. Synology, obwohl sie ext4, btrfs, extFAT nutzen, werden dort gewisse NTFS-Dateiattribute und Streams als Dateien in unterverzeichnissen gespeichert.


Das wie war ja grundsätzlich erstmal egal.
Browser, aber auch eMail-Programme ala Outlook und Thunderbird, markieren runtergeladene Dateien und beim Ausführen/Öffnen werden sie dann nochmals geprüft und eventuell blockiert.