QC>Понятно, значит свой инсталлятор. И не факт, что замены атрибутов не будут детектиться антивирусами.

Это стандартный прием, который используется уже лет 20 в remote assistance apps типа Citrix. Типа можно юзеру в траблах послать ссылку на утилиту, они её скачивают, запускают и она сама звонит в нужное место в саппорт с номером тикета и tech на другом конце телефонного звонка получает доступ к машине. Бинарник статичный, но детали куда соединяться и под каким тикетом прописываются в аттрибуты сертификата. У Гугла была такая же ботва с пре-кастомизированными сетапами Хрома. Это hack, конечно, но широко известный и активно используемый (в узких кругах).