Ir para conteúdo
  • Cadastre-se

dev botao

Dúvidas Com Assinatura de Executável


Ver Solução Respondido por Victor H. Gonzales - Panda,
  • Este tópico foi criado há 1148 dias atrás.
  • Talvez seja melhor você criar um NOVO TÓPICO do que postar uma resposta aqui.

Recommended Posts

  • Membros Pro
Postado

Boa noite,

Seguindo estas orientações -> https://www.projetoacbr.com.br/forum/topic/54978-assinatura-digital-de-exe-e-dll/
Conseguimos adquirir nosso certificado na sectsigo.com...patinando com nosso inglês, rs... mas deu tudo certo...

Também conseguimos efetuar a assinatura, tanto pelo kSign como via linha de comando, com o signtool.exe
Vamos lá em "Propriedades" do arquivo assinado e está tudo certo, mostra os dados do certificado e nossa empresa.

Show de bola o tutorial. Agradecemos. Ajudou bastante.


Mas surgiram algumas dúvidas. Se puderem me ajudar...

1) O Windows Defender
Só deixa "passar" sem aviso, se a assintura for feita com SHA1 e SHA256, através do parâmetros "/fd SHA256".
Pelo kSign conseguimos fazer a "Dual sign" e aí o arquivo fica com duas assinaturas, igual está o ACBrInstall_Trunk2.exe.
Porém, no processo automatizado (signtool), conseguimos assinar apenas um com ou com outro (SHA1 ou SHA256).
A pergunta é: tem como fazer o "Dual sign" via linha de comando? Se sim, como ficaria o comando ?

2) Antivírus
Mesmo assinando nas duas opções (sha1 e sah256), o antivírus gera alerta e, dependendo do antivírus, bloqueia.
Não sei se a assinatura era para resolver (ou pelo menos diminuir) a "reclamação" dos antivírus. Mas não melhorou nada.
Pergunto: essa assinatura com code signing não deveria trazer melhorias nessa confiabilidade dos antivírus em relação ao nosso .exe?
Obs.: com o ACBrInstall_Trunk2.exe não ocorre nenhum problema em relação ao antivírus.

Obrigado!'

Valdir Dill

Rio de Janeiro - RJ

 

 

  • Consultores
  • Solution
Postado
2 horas atrás, Valdir Dill disse:

Boa noite,

Seguindo estas orientações -> https://www.projetoacbr.com.br/forum/topic/54978-assinatura-digital-de-exe-e-dll/
Conseguimos adquirir nosso certificado na sectsigo.com...patinando com nosso inglês, rs... mas deu tudo certo...

Também conseguimos efetuar a assinatura, tanto pelo kSign como via linha de comando, com o signtool.exe
Vamos lá em "Propriedades" do arquivo assinado e está tudo certo, mostra os dados do certificado e nossa empresa.

Show de bola o tutorial. Agradecemos. Ajudou bastante.


Mas surgiram algumas dúvidas. Se puderem me ajudar...

1) O Windows Defender
Só deixa "passar" sem aviso, se a assintura for feita com SHA1 e SHA256, através do parâmetros "/fd SHA256".
Pelo kSign conseguimos fazer a "Dual sign" e aí o arquivo fica com duas assinaturas, igual está o ACBrInstall_Trunk2.exe.
Porém, no processo automatizado (signtool), conseguimos assinar apenas um com ou com outro (SHA1 ou SHA256).
A pergunta é: tem como fazer o "Dual sign" via linha de comando? Se sim, como ficaria o comando ?

2) Antivírus
Mesmo assinando nas duas opções (sha1 e sah256), o antivírus gera alerta e, dependendo do antivírus, bloqueia.
Não sei se a assinatura era para resolver (ou pelo menos diminuir) a "reclamação" dos antivírus. Mas não melhorou nada.
Pergunto: essa assinatura com code signing não deveria trazer melhorias nessa confiabilidade dos antivírus em relação ao nosso .exe?
Obs.: com o ACBrInstall_Trunk2.exe não ocorre nenhum problema em relação ao antivírus.

Obrigado!'

1) pelo signtool não é só você pedir para assinar duas vezes e gera essa "dupla assinatura" sua?

2) Só o fato da assinatura já ajuda, conta alguns pontos.

Refente ao certificado tem 2 tipos, OV e EV...

O certificado OV ele é orgânico então precisa de uma reputação reportada e várias pessoas usando para o smart screen.

Já o EV ele é mais agressivo, a reputação é praticamente imediata no smartscreen.

Para assinatura de drivers por exemplo só é aceito o tipo EV no windows 10.

Mas ambos já melhoram a reputação do executável e já informa o fabricante, já não ocorre mais fabricante desconhecido.

Antivírus faz leitura heurística, você pode ter algum comportamento que é detectado como malicioso, aí seria necessário entrar em contato com o antivírus e enviar o executável a eles para inclusão em whitelist.

  • Curtir 2
Consultor SAC ACBr

Victor H Gonzales - Pandaaa
Ajude o Projeto ACBr crescer - Assine o SAC

Projeto ACBr     Telefone:(15) 2105-0750 WhatsApp(15)99790-2976.  Discord

Projeto ACBr - A maior comunidade Open Source de Automação Comercial do Brasil

Participe de nosso canal no Discord e fique ainda mais próximo da Comunidade !!

"Aprender é a única coisa que a mente nunca se cansa, nunca tem medo e nunca se arrepende” - Leonardo da Vinci

"Ter sucesso é falhar repetidamente, mas sem perder o entusiasmo"

  • Membros Pro
Postado
11 horas atrás, Victor H. Gonzales - Panda disse:

1) pelo signtool não é só você pedir para assinar duas vezes e gera essa "dupla assinatura" sua?

2) Só o fato da assinatura já ajuda, conta alguns pontos.

Refente ao certificado tem 2 tipos, OV e EV...

O certificado OV ele é orgânico então precisa de uma reputação reportada e várias pessoas usando para o smart screen.

Já o EV ele é mais agressivo, a reputação é praticamente imediata no smartscreen.

Para assinatura de drivers por exemplo só é aceito o tipo EV no windows 10.

Mas ambos já melhoram a reputação do executável e já informa o fabricante, já não ocorre mais fabricante desconhecido.

Antivírus faz leitura heurística, você pode ter algum comportamento que é detectado como malicioso, aí seria necessário entrar em contato com o antivírus e enviar o executável a eles para inclusão em whitelist.

Bom dia,

De fato @Victor H. Gonzales - Panda, o procedimento é executar duas vezes o comando e, na segunda, definir o sha256. No primeiro não precisa, pois o signtool assume o sha1 por default.
Eu havia tentado esse comando duas vezes e não estava aceitando. Mas com sua dica, fucei mais um pouco no Google e consegui.
Vou deixar aqui os comandos para talvez ajudar outrem:

for I := 0 to VListaExesAssinar.count -1 do
begin
 VParams := 'sign /du "' + VSiteGFIL + '" /d "Sistema GFIL" /f ' + VPFX + ' /p ' + VSenhaCert + ' /t  http://timestamp.comodoca.com /v "' + VListaExesAssinar[I] + '"';
 RunCommand( VExeSigTool, PChar(VParams), true, 2); //função do AcbrUtil

 Sleep(1000); //para não dar erro de arquivo em uso

 VParams := 'sign /du "' + VSiteGFIL + '" /d "Sistema GFIL" /f ' + VPFX + ' /p ' + VSenhaCert + ' /fd sha256 /tr http://timestamp.comodoca.com/?td=sha256 /td sha256 /as /v "' + VListaExesAssinar[I] + '"';
 RunCommand(VExeSigTool, PChar(VParams), true, 2);
end; 

Quanto aos bloqueios do antivírus, creio que seja isso mesmo que você mencionou.

Obrigado pela ajuda e informações!

  • Curtir 2
  • Obrigado 1

Valdir Dill

Rio de Janeiro - RJ

 

 

  • Consultores
Postado

Obrigado por reportar.

Fechando. Para novas dúvidas, criar um novo tópico.

Consultor SAC ACBr

Victor H Gonzales - Pandaaa
Ajude o Projeto ACBr crescer - Assine o SAC

Projeto ACBr     Telefone:(15) 2105-0750 WhatsApp(15)99790-2976.  Discord

Projeto ACBr - A maior comunidade Open Source de Automação Comercial do Brasil

Participe de nosso canal no Discord e fique ainda mais próximo da Comunidade !!

"Aprender é a única coisa que a mente nunca se cansa, nunca tem medo e nunca se arrepende” - Leonardo da Vinci

"Ter sucesso é falhar repetidamente, mas sem perder o entusiasmo"

  • Este tópico foi criado há 1148 dias atrás.
  • Talvez seja melhor você criar um NOVO TÓPICO do que postar uma resposta aqui.
Visitante
Este tópico está agora fechado para novas respostas
×
×
  • Criar Novo...

Informação Importante

Colocamos cookies em seu dispositivo para ajudar a tornar este site melhor. Você pode ajustar suas configurações de cookies, caso contrário, assumiremos que você está bem para continuar.