AutoIt - Antivirus-Programme

  • Hallo


    Vielleicht könnten wir hier eine Sammlung erstellen, betreffend des Verhaltens der Antivirusprogramme (AV) und kompilierten AutoIt-Scripten.

    Mir ist bis jetzt folgendes aufgefallen (kompiliert immer ohne Laufzeitpacker):


    Win7/64, AutoIt 3.3.14.5, Avast

    Kompilat in 32bit sowie 64bit: keine AV-Beeinträchtigung


    Win10/64, AutoIt 3.3.14.5, Checkpoint

    Kompilat in 32bit: erkennt Virus in exe, löscht Kompilat

    Kompilat in 64bit: keine AV-Beeinträchtigung


    Aufgefallen: ich inkludiere per #pragma compile(Icon, ".\irgendaIcon.ico") ein Icon (und zwar nur hier im Source-Code). Erstelle ich das 32bit-Programm ohne dieses Icon, spricht Checkpoint bei 32bit auch nicht an. Jetzt wäre natürlich genial wenn ich diese #pragma-Anweisung per Abfrage #if compile=64 oder so ähnlich ein- bzw. ausschalten könnten (müßte dann nicht immer händisch auskommentieren vor dem kompilieren).


    LG

  • Vielleicht könnten wir hier eine Sammlung erstellen, betreffend des Verhaltens der Antivirusprogramme (AV) und kompilierten AutoIt-Scripten.

    Das Problem ist, dass sich das Verhalten der AV-Programme nach jedem Update ändern kann.

    Ich habe mehrfach erlebt, dass eine seit Jahren akzeptierte .exe plötzlich in der Quaratäne landet.

    Die einzige Lösung ist, meiner Meinung nach, Skripte als .a3x auszuliefern (mit dem jeweiligen AutoIt-Interpreter (z.B. AutoIt3.exe).

    86598-musashi-c64-png

    "Am Anfang wurde das Universum erschaffen. Das machte viele Leute sehr wütend und wurde allenthalben als Schritt in die falsche Richtung angesehen."

  • Im engl. Forum wird das Thema immer und immer wieder angesprochen: https://www.autoitscript.com/f…toit-exes-really-infected

  • Auch meine Programme werden immer wieder "gefressen". Was mir hilft das ich die fertigen EXE signiere. Damit lassen die meisten Virenscanner (Virustotal) die Programme in Ruhe!


    lg

    Racer

  • Auch meine Programme werden immer wieder "gefressen". Was mir hilft das ich die fertigen EXE signiere. Damit lassen die meisten Virenscanner (Virustotal) die Programme in Ruhe!


    lg

    Racer

    Dazu fände ich interessant was Du dazu nutzt. Ich habe aus dem englischen Forum signtoolexe versucht. Damit wird aber nicht wirklich das Resultat von Virenscanner beeinflusst.

  • Auch meine Programme werden immer wieder "gefressen". Was mir hilft das ich die fertigen EXE signiere. Damit lassen die meisten Virenscanner (Virustotal) die Programme in Ruhe!


    Dazu fände ich interessant was Du dazu nutzt. Ich habe aus dem englischen Forum signtoolexe versucht. Damit wird aber nicht wirklich das Resultat von Virenscanner beeinflusst.

    bazii :


    Wir haben in der Firma auch über lange Zeit versucht, mittels verschiedener Signiertools (und die waren nicht billig) unsere AutoIt-Exe's vor dem Zugriff von Virenscannern zu schützen.

    Hier und da hat es sogar mal etwas gebracht, aber eine dauerhafte und verlässliche Lösung war das nicht. Ich persönlich halte diese Zertifizierungen weitgehend für Geldschneiderei.


    Man kann 'false positives' natürlich auch bei den relevanten AV-Herstellern melden. Das darf man dann aber bei jeder Änderung der .exe's wiederholen, wenn man Pech hat. Am Ende bleibt es ein ewiges Katz-und-Maus Spiel. Virustotal ist auch nicht der Weisheit letzter Schluss.


    Seit der Umstellung auf .a3x sind alle diese Probleme quasi verschwunden.

    Gruß Musashi

    86598-musashi-c64-png

    "Am Anfang wurde das Universum erschaffen. Das machte viele Leute sehr wütend und wurde allenthalben als Schritt in die falsche Richtung angesehen."

  • Bin da ganz Deiner Meinung. Wir hatten in diesem Forum zusätzlich mehrere Lösungsansätze besprochen und das hat auch geholfen. Mittlerer Weile habe ich auch auf .a3x umgestellt.

    Eine zu .a3x interessante Sache finde ich aus dem englischen Forum diese hier: Das kennt ihr wahrscheinlich eh schon alle :-)

  • Den Dauerbrenner-Thread bzgl. 'false positives' aus den EN-Forum hat water ja bereits angesprochen. Dort hatte ich, wie der Zufall es so will, gerade selbst noch einen Beitrag geschrieben, in dem auch auf die Lösung von Exit hingewiesen wurde : https://www.autoitscript.com/f…ndComment&comment=1472906

    Eine zu .a3x interessante Sache finde ich aus dem englischen Forum diese hier: Das kennt ihr wahrscheinlich eh schon alle :-)

    Da wäre ich mir nicht so sicher ;). Nicht alle Mitglieder oder Gäste des DE-Forums sind im englischen Forum unterwegs oder haben den Thread au3tocmd-avoid-false-positives ggf. auch übersehen.


    Eine kleine Hürde bringt der Ansatz von Exit aber mit sich, aus der er auch kein Geheimnis macht :

    Trotzdem lohnt es sich, einen Blick darauf zu werfen.


    Gruß Musashi

    86598-musashi-c64-png

    "Am Anfang wurde das Universum erschaffen. Das machte viele Leute sehr wütend und wurde allenthalben als Schritt in die falsche Richtung angesehen."

  • Hallo,

    ich verwende als Betriebssystem Windows 10 Pro 19052.804 64-Bit und als Virenscanner, den im BS enthaltenen Defender.

    Am Anfang hatte ich auch andauernd das Problem, dass mir der Defender immer wieder einige kompilierten EXE "entsorgt" hat, weil er sie fälschlicherweise für Viren gehalten hat.


    Nach einigen Versuchen und Internetrecherchen, habe ich mal den "Cloudbasierten Schutz" abgestellt und seitdem ist Ruhe.

    Zwar soll der "Cloudbasierte Schutz" die Erkennungsrate steigern, aber leider steigert er auch die Falschmeldungen und lieber eine etwas geringere Erkennungsrate, als ewig fälschlicherweise "entsorgte" Dateien.


    MfG:

    BigRox

  • Auf dem eigenen Computer sollte das in den Griff zu bekommen sein.

    Kompilierte exe eiignen sich aber einfach nicht für die Verteilung - weder professionell noch privat. Schreibt eine installierbare Ausführdatei in irgendwas und startet das Skript daraus mit einer mitgelieferten AutoIt3.exe, wenn es was hermachen soll.

  • Ja, genau das verwende ich! Einfach das Signtool von der Microsoft!


    Ok, zugegeben, so einfach war das auch nicht, aber ich habe da zu eine Lösung: Im SDK von der MS (Visual Studio) ist das Signtool.exe (+ alle DLL und andere Programmteile) enthalten.

    Da ich nicht alles installieren wollte, habe ich mir die Dateien extrahiert und einen Programmordner gepackt (wir haben Applocker im Einsatz und damit ist es nicht so einfach irgendwelche Programme auszuführen). Damit habe ich quasi das Signtool als portable App umgebaut.


    Schritt zwei war eine Ausnahme (Virenscanner) für einen Ordner in dem meine Programme gespeichert sind - dieser liegt ganz bewusst nicht unter meinem User (c:\users\...\dokumente) da hier wieder der Applocker das verhindern würde. In meinen Fall ist es eine andere Disk - kann aber auch ein andere Ordner sein.


    Schritt drei: man braucht eine Code Signer Zertifikat! Ich habe eines von meiner Firma dass aber nicht öffentlich ist (wir haben eine eigene CA) - das ist aber nicht so schlimm, den durch die Signierung entsteht ein andere Hashwert und die Virenscanner stellen fest "der hat ja ein Zertifikat, kenne ich zwar nicht aber hmmm....lassen wir die EXE mal leben":)


    Signieren tue ich das über die Commanline per Batchjob: sign.lnk (verweist auf den Batch im Programmordner) meinAutoItProgramm.exe. Warum das über einen Link und nicht direkt? Ganz einfach: Applocker läßt unter anderem Programm nur zu wenn sie unter c:\program files bzw c:\program files(x86) liegen. So kann ich das Programm von dort aufrufen und die mit AutoIt erstellte EXE "übergeben" ....das alles muss bei mir immer mit Benutzerrechte funktionieren (Firmenvorschrift)!


    Am Ende sieht das dann so aus: siehe sign.jpg

    (ich habe das von zu Hause aus geschrieben und damit ist das Zertifikat nicht gültig)


    Lade ich die Datei auf Virustotal wird die Datei "nur" mehr von 2 Virenscanner als "Virus" eingestuft...die meisten bekannten Virenscanner geben sich aber damit zufrieden: siehe virustotal.jpg


    Wenn interesse besteht kann ich gerne die notewendigen Programmteile vom Signtool zusammen packen und hochladen - ist nicht so viel! Ein Zertifikat kann man entweder von seiner Firma bekommen oder sich selbst ausstellen: z.B.: mit der XCA (https://hohnstaedt.de/xca/)


    lg

    Racer