Разрабатываю и продаю утилиту для чистки ПК по типу CCleaner. Месяц назад её стал блокировать Защитник Windows. Отправлял через форму для анализа — ничего не поменялось. После этого немного модифицировал код — срабатывание ненадолго исчезло, но потом появилось снова. В итоге теряется почти 70% установок и продаж...
Есть ли шанс выйти на человека в поддержке Microsoft Defender, чтобы понять, за что именно стала блокироваться программа? Возможно, у кого-то был подобный опыт.
Здравствуйте, Teleum91, Вы писали:
T>Разрабатываю и продаю утилиту для чистки ПК по типу CCleaner. Месяц назад её стал блокировать Защитник Windows. Отправлял через форму для анализа — ничего не поменялось. После этого немного модифицировал код — срабатывание ненадолго исчезло, но потом появилось снова. В итоге теряется почти 70% установок и продаж...
T>Есть ли шанс выйти на человека в поддержке Microsoft Defender, чтобы понять, за что именно стала блокироваться программа? Возможно, у кого-то был подобный опыт.
Может код вынести в ДЛЛ, которую защифровать предварительно?
Здравствуйте, Teleum91, Вы писали:
T>Разрабатываю и продаю утилиту для чистки ПК по типу CCleaner. Месяц назад её стал блокировать Защитник Windows. Отправлял через форму для анализа — ничего не поменялось. После этого немного модифицировал код — срабатывание ненадолго исчезло, но потом появилось снова. В итоге теряется почти 70% установок и продаж...
T>Есть ли шанс выйти на человека в поддержке Microsoft Defender, чтобы понять, за что именно стала блокироваться программа? Возможно, у кого-то был подобный опыт.
Как устранить блокировку вашей программы Защитником Windows
Если ваша утилита блокируется с детектом "Win32/Wacatac.B", следуйте этим рекомендациям:
1. Анализ кода и компонентов
Проверьте весь код и используемые библиотеки через сервисы вроде VirusTotal. Возможно, используется компонент, который антивирус считает подозрительным.
Изучите, какие действия программы могут вызывать срабатывание, например, работа с реестром, автозапуск или скрытие процессов.
2. Следование лучшим практикам разработки
Убедитесь, что программа:
Прозрачно работает с системой (не использует "серые" методы работы с реестром или файлами).
Не запускает скрытые процессы.
Имеет понятный и безопасный механизм установки и удаления.
3. Используйте цифровую подпись
Получите EV Code Signing Certificate и подпишите все исполняемые файлы и установщик.
Подпись значительно повысит доверие со стороны антивирусов и системы Windows.
Создайте инструкцию для клиентов, объясняющую, как временно добавить программу в исключения Защитника Windows.
Сообщите, что вы активно работаете над устранением проблемы.
Дополнительно: если ничего не помогает, наймите специалиста в области обратного инжиниринга или изучите, как ваши конкуренты избегают подобных блокировок.
Следуя этим шагам, вы сможете устранить проблему с ложным срабатыванием!
PO>Посмотрите ответ ChatGPT 4o:
PO>Дополнительно: если ничего не помогает, наймите специалиста в области обратного инжиниринга или изучите, как ваши конкуренты избегают подобных блокировок.
Здравствуйте, Teleum91, Вы писали:
T>Здравствуйте, icezone, Вы писали:
I>>а что находит? win32/wacatac?
T>Пробовали менять разные модули. В итоге срабатывание меняется:
T>Trojan:Win32/Pomal!rfn
типа удаленный доступ предоставляет
T>потом
T>PUA:Win32/Caypnamer.A!ml
Проверьте, нет ли программы в списке "обманщиков" на AppEsteem, они любят туда добавлять и приличные программы (бандиты те еще). И если она там есть, то пока не уберете, будут сработки антивирусов. И не только WinDefender. Потому что у них есть какие-то завязки с Microsoft и прочими.
Здравствуйте, Teleum91, Вы писали:
T>Здравствуйте, icezone, Вы писали:
I>>прога на Delphi написана?
T>Да, на Delphi. Причём в силу специфики ей требуется админ-доступ.
Здравствуйте, rudzuk, Вы писали:
R>Здравствуйте, icezone, Вы писали:
i>> пока я не вынес часть кода в c++ dll проблема не решалась полностью
R>А вынесенная часть кода с чем работала? В смысле, какие-то системные апи трогала или особо известные алгоритмы?
вся криптография ушла в openssl
в остальном — математика, работа с файлами, буферизация в сишную либу
на Delphi у меня только GUI остался
Здравствуйте, icezone, Вы писали:
i> R>А вынесенная часть кода с чем работала? В смысле, какие-то системные апи трогала или особо известные алгоритмы?
i> вся криптография ушла в openssl i> в остальном — математика, работа с файлами, буферизация в сишную либу
А после чего детект пропал? После вынесения криптографии (какая реализация была? своя, апи ос?) из кода или после остального?
Здравствуйте, Teleum91, Вы писали:
T>Есть ли шанс выйти на человека в поддержке Microsoft Defender, чтобы понять, за что именно стала блокироваться программа? Возможно, у кого-то был подобный опыт.
У нас год назад случился false positive с Defender.
Не нравился ему наш сертификат, который идет при подписании exe.
Exe улетал в карантин, даже подписанный этим сертификатом hello word улетал.
Выдавал обнаружение что-то там !ml, т.е. ИИ на него возбудился.
После пары циклов обращения в поддержку MS и предоставления им образца нашего подписанного exe проблема ушла.
Где-то месяц кровь нам портили.
Здравствуйте, rudzuk, Вы писали:
i>> вся криптография ушла в openssl i>> в остальном — математика, работа с файлами, буферизация в сишную либу
R>А после чего детект пропал? После вынесения криптографии (какая реализация была? своя, апи ос?) из кода или после остального?
а везде по-разному
криптография еще с незапамятных времен, какие-то юниты былы для RSA/MD5, сжатие было из семейства lz*
какая-то функция работы с локалями в консольной утилитке вызывала буйную реакцию на virustotal
RTTI тоже влияет по-разному, иногда его отключение дает ложные детекты, иногда убирает
переход на свежую Delphi 11 Community еще больше детектов дал, так что не стал мучаться и начал по кускам все выносить на С++
Здравствуйте, qaz77, Вы писали:
Q>После пары циклов обращения в поддержку MS и предоставления им образца нашего подписанного exe проблема ушла. Q>Где-то месяц кровь нам портили.
А куда именно обращались? Смогли дойти до живых людей?
Ну коллеги поправят. 
