Compilierte EXE wird von Cortex XDR blockiert

Code4Fun

Hallo,

ich habe folgendes kleines Script geschrieben. Es soll nur die Zwischenablage auslesen und an einer bestimmten Koordinate dann via SEND reinschreiben. Also nix wildes.

AutoIt

#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Icon=rci.ico
#AutoIt3Wrapper_Outfile_x64=RemoteClipboardInput.exe
#AutoIt3Wrapper_Run_Tidy=y
#Tidy_Parameters=/reel
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
#include <GUIConstantsEx.au3>
#include <WindowsConstants.au3>
#include <MsgBoxConstants.au3>

Global $clipboardText = "Platzhalter"
Global $mouseX = 0
Global $mouseY = 0
Global $gui, $label1, $button1, $label2, $label3, $button2, $label4, $label5, $button3

; Erstellen Sie die GUI
$gui = GUICreate("Remote Clipboard Input", 720, 300)
GUISetState(@SW_SHOW)

; Erstellen Sie das erste Label und den Button
$label1 = GUICtrlCreateLabel("1. Bitte den einzufügenden Text in die Zwischenablage kopieren und OK drücken", 10, 10, 480, 50)
GUICtrlSetFont(-1, 10)
$button1 = GUICtrlCreateButton("OK", 500, 10)
$label2 = GUICtrlCreateLabel("2. Der Wert auf der Zwischenablage ist: " & $clipboardText, 10, 70, 480, 50)
GUICtrlSetFont(-1, 10)
$label3 = GUICtrlCreateLabel("3. Bitte mit der Maus zu den Koordinaten fahren, wo der Zwischenablagetext eingefügt werden soll. Dann 2x die linke Maustaste drücken", 10, 130, 480, 50)
GUICtrlSetFont(-1, 10)
$button2 = GUICtrlCreateButton("Mauskoordinaten bestimmen", 500, 130)
$label4 = GUICtrlCreateLabel("4. Die gewählten Koordinaten sind: X=" & $mouseX & ", Y=" & $mouseY, 10, 190, 480, 50)
GUICtrlSetFont(-1, 10)
$label5 = GUICtrlCreateLabel("5. Zwischenablagetext " & $clipboardText & " bei den Koordinaten X=" & $mouseX & ", Y=" & $mouseY & " eintragen.", 10, 250, 480, 50)
GUICtrlSetFont(-1, 10)
$button3 = GUICtrlCreateButton("Zwischenablage Text remote übertragen", 500, 250)

While 1
	$msg = GUIGetMsg()

	If $msg = $GUI_EVENT_CLOSE Then
		Exit
	ElseIf $msg = $button1 Then
;~ 		ClipPut("")
		$clipboardText = ClipGet()
		If $clipboardText = "" Then
			$clipboardText = "NULL"
		EndIf
		GUICtrlSetData($label2, "2. Der Wert auf der Zwischenablage ist: " & $clipboardText)

		GUICtrlSetBkColor($button1, 0x90EE90) ; Hellgrün
	ElseIf $msg = $button2 Then
		Local $clickCount = 0
		While $clickCount < 2
			If _IsPressed("01") Then ; linke Maustaste
				$clickCount += 1
				Sleep(200) ; Vermeiden Sie Doppelklicks
			EndIf
			$mousePos = MouseGetPos()
			ToolTip("X: " & $mousePos[0] & ", Y: " & $mousePos[1], $mousePos[0] + 30, $mousePos[1])
			Sleep(10)
		WEnd
		ToolTip("")
		$mouseX = $mousePos[0]
		$mouseY = $mousePos[1]
		GUICtrlSetData($label4, "4. Die gewählten Koordinaten sind: X=" & $mouseX & ", Y=" & $mouseY)

		GUICtrlSetData($label5, "5. Zwischenablagetext " & $clipboardText & " bei den Koordinaten X=" & $mouseX & ", Y=" & $mouseY & " eintragen.")

		GUICtrlSetBkColor($button2, 0x90EE90) ; Hellgrün
	ElseIf $msg = $button3 Then
		MouseClick("left", $mouseX, $mouseY)
		Sleep(500)
		MouseClick("left", $mouseX, $mouseY)
		WinActivate("[ACTIVE]")
		Send($clipboardText & "{ENTER}")
		MsgBox($MB_ICONEXCLAMATION + $MB_OK, "Fertig", "Zwischenablage Text erfolgreich übertragen.", 2)
	EndIf
WEnd

Func _IsPressed($hexKey)
	Local $aR = DllCall("user32", "int", "GetAsyncKeyState", "int", "0x" & $hexKey)
	If Not @error And BitAND($aR[0], 0x8000) = 0x8000 Then
		Return 1
	Else
		Return 0
	EndIf
EndFunc   ;==>_IsPressed

Alles anzeigen

Wenn ich die EXE dann auf meinem Firmen PC ausführe, schlägt der Firmen Scaner an mit

Habe ich hier irgendeine Möglichkeit, den Code anzupassen, damit er als harmlos erkannt wird?

**AspirinJunkie**

Das ist ein leidiges uraltes Thema. AutoIt selbst kann da wenig tun.

Das Problem ist, dass AutoIt in exe Dateien den Interpreter an den Anfang der Datei schreibt und das auszuführende Skript dahinter. Wenn nun irgendjemand eine bösartige Software mit AutoIt schreibt, dann entspricht die Signatur die bei den Virenscannerherstellern landet, der des AutoIt-Interpreters. Also sind ab diesem Zeitpunkt alle AutoIt-exe Dateien betroffen.

Die Möglichkeiten hierbei sind u.a. hier aufgeführt:

Are my AutoIt exes really infected?

If you have been using AutoIt for any length of time you will know that it is a great, and powerful scripting language. As with all powerful languages there…

www.autoitscript.com

**Musashi**

Du kannst auch mal einen Blick auf einen Thread im DE-Forum werfen :

Beitrag

RE: AV-Programme: False positive

[…]

Sogenannte 'false positives' sind ein seit Äonen lästiges und viel diskutiertes Thema !

Um dieser Problematik (weitgehend) aus dem Wege zu gehen, liefere ich Programme ausschließlich im Format .a3x aus, und starte sie über eine .cmd bzw. Verknüpfung.

Den AutoIt-Interpreter (also : AutoIt3.exe bzw. AutoIt3_x64.exe) darf man, lizenzrechtlich auch für kommerzielle Programme, mit verteilen.

Im englischsprachigen Forum gibt es dazu einen Thread, der seit 2006 läuft. Ich verweise mal auf einen…

Musashi

15. Juni 2023 um 06:51

BananaJoe

Ich hatte damit Erfolg. Schau, ob es bei Dir auch hilft: https://www.autoitscript.com/forum/topic/20…rsion-20220901/

**Schnuffel**

du kannst auch PureBasic verwenden, um dein Script zu starten.

Wenn Interesse besteht einfach Bescheid geben.

Erfordert eine autoit3.exe und ein a3x-Datei in einem Verzeichnis. Die selbstkompilierte PureBasic.exe startet dann die a3x.

Prüft anhand md5, ob die a3x Datei unverändert ist oder ersetzt wurde.

Code4Fun

Zitat von Schnuffel

du kannst auch PureBasic verwenden, um dein Script zu starten.
Wenn Interesse besteht einfach Bescheid geben.
Erfordert eine autoit3.exe und ein a3x-Datei in einem Verzeichnis. Die selbstkompilierte PureBasic.exe startet dann die a3x.
Prüft anhand md5, ob die a3x Datei unverändert ist oder ersetzt wurde.

Hallo Schnuffel, kannst Du mir dazu etwas mehr erzählen?

**Schnuffel**

na klar.

lade dir PureBasic herunter und installiere es: https://www.purebasic.com/german/download.php

erstelle dir einen Ordner und packe da die autoit.exe deiner genutzten Version rein.
( Kopiere "C:\Program Files (x86)\AutoIt3\AutoIt3.exe" ==> dein Ordner )

erstelle in deinem Ordner eine Datei mit der Endung .pb und folgendem Inhalt:

Spoiler anzeigen

Code

; --------------------------------------------------------------------------------------------------------------------------------
;  _____                ____            _        _                     _              __                         _        _ _    |
; |  __ \              |  _ \          (_)      | |                   | |            / _|                       | |      (_) |   |
; | |__) |   _ _ __ ___| |_) | __ _ ___ _  ___  | |     ___   __ _  __| | ___ _ __  | |_ ___  _ __    __ _ _   _| |_ ___  _| |_  |
; |  ___/ | | | '__/ _ \  _ < / _` / __| |/ __| | |    / _ \ / _` |/ _` |/ _ \ '__| |  _/ _ \| '__|  / _` | | | | __/ _ \| | __| |
; | |   | |_| | | |  __/ |_) | (_| \__ \ | (__  | |___| (_) | (_| | (_| |  __/ |    | || (_) | |    | (_| | |_| | || (_) | | |_  |
; |_|    \__,_|_|  \___|____/ \__,_|___/_|\___| |______\___/ \__,_|\__,_|\___|_|    |_| \___/|_|     \__,_|\__,_|\__\___/|_|\__| |
;                                                                                                                                |
; This file is used to act as a launcher for an AutoIt a3x-File to reduce false positive alerts for AV scanners.                |
; It passes all parameters to the AutoIt3.exe.                                                                                   |
;                                                                                                                                |
; NOTE: This script is written in PureBasic                                                                                      |
; --------------------------------------------------------------------------------------------------------------------------------
; Adjust the name of your a3x script here. 
; It is expected that your script is located in the Subdirectory defined in 'datafolder.s'
; If all files are in the same directory define datafolder.s = ''

; Definition of the Subfolder for a3x- & autoit3-file
datafolder.s  = ""

; Name of a3x-file
a3xFile.s =       "Start.a3x"

; MD5 Hash of actual a3x-file (Hash is generated with au3-file: "_Crypt_HashFile ( $a3x-file, 'MD5')"
Hash.s = "0x......."

; Name of autoit3.exe. Only the fileextension must be ".exe"!
Autoit3File.s =   "autoit3.exe"

; --------------------------------------------------------------------------------------------------------------------------------
; Internal section
a3xFullFile.s = datafolder + a3xFile
Autoit3FullFile.s = datafolder + Autoit3File

Parameters.s = ""
AutoIt3_x86Path.s = GetCurrentDirectory() + Autoit3FullFile
a3xPath.s = GetCurrentDirectory() + a3xFullFile
Quote.s = Chr(34)

Parameters = RTrim(Parameters)

If FileSize(a3xPath) = -1
   MessageRequester("Error", a3xFile + " not found!", #PB_MessageRequester_Ok + #PB_MessageRequester_Error) 
  End
EndIf

If FileSize(AutoIt3_x86Path) = -1
   MessageRequester("Error", Autoit3File + " not found!", #PB_MessageRequester_Ok + #PB_MessageRequester_Error) 
  End
EndIf 

; a3x-File gegen MD5 Hash prüfen
UseMD5Fingerprint()
If "0x" + UCase(FileFingerprint(a3xPath, #PB_Cipher_MD5)) <> Hash
  MessageRequester("Error", a3xFile + " has wrong MD5 Hash!", #PB_MessageRequester_Ok + #PB_MessageRequester_Error) 
  End
EndIf

For i = 0 To CountProgramParameters()-1
  Parameters = Parameters + Quote + ProgramParameter(i) + Quote + " "
Next

RunProgram(Quote + AutoIt3_x86Path + Quote + " " + Quote + a3xPath + Quote,Parameters,GetCurrentDirectory())

End

Alles anzeigen

erstelle dein Script und kompiliere es als a3x-Datei.

erstelle mit der "make_md5_Hash.au3" einen MD5-Hash der a3x-Datei und füge das Ergebnis inkl. "0x..." in die ****.pb Datei als hash.s ein (Zeile 25)

starte die ****.pb Datei (PureBasic startet) und compiliere diese Datei nach deinen Anpassungen mittels F5.
Die kompilierte exe liegt in deinem Temp-Verzeichnis (%tmp%) im Explorer eingeben

die Dateien "kompilierte exe", "a3x-Datei" und "autoit3.exe" kannst du jetzt verteilen.

Mit einem Start deiner *****.pb Datei wird autoit3.exe gestartet (alle übergebenen Parameter werden weitergereicht an die a3x-Datei)
mit dem Parameter der a3x-Datei.

Beispiel hänge ich mal mit an

Entliehen habe ich die Idee von ISI360 (ISN autoit Studio) https://www.autoitscript.com/forum/topic/19…-autoit-studio/

**Schnuffel**

ach ja, die Namensgebung bleibt dir frei. ob die Datei autoit3.exe heißt, oder ganz anders liegt ganz bei dir.