Dúvidas Com Assinatura de Executável

[Valdir Dill]

Boa noite,

Seguindo estas orientações -> https://www.projetoacbr.com.br/forum/topic/54978-assinatura-digital-de-exe-e-dll/
Conseguimos adquirir nosso certificado na sectsigo.com...patinando com nosso inglês, rs... mas deu tudo certo...

Também conseguimos efetuar a assinatura, tanto pelo kSign como via linha de comando, com o signtool.exe
Vamos lá em "Propriedades" do arquivo assinado e está tudo certo, mostra os dados do certificado e nossa empresa.

Show de bola o tutorial. Agradecemos. Ajudou bastante.

Mas surgiram algumas dúvidas. Se puderem me ajudar...

1) O Windows Defender
Só deixa "passar" sem aviso, se a assintura for feita com SHA1 e SHA256, através do parâmetros "/fd SHA256".
Pelo kSign conseguimos fazer a "Dual sign" e aí o arquivo fica com duas assinaturas, igual está o ACBrInstall_Trunk2.exe.
Porém, no processo automatizado (signtool), conseguimos assinar apenas um com ou com outro (SHA1 ou SHA256).
A pergunta é: tem como fazer o "Dual sign" via linha de comando? Se sim, como ficaria o comando ?

2) Antivírus
Mesmo assinando nas duas opções (sha1 e sah256), o antivírus gera alerta e, dependendo do antivírus, bloqueia.
Não sei se a assinatura era para resolver (ou pelo menos diminuir) a "reclamação" dos antivírus. Mas não melhorou nada.
Pergunto: essa assinatura com code signing não deveria trazer melhorias nessa confiabilidade dos antivírus em relação ao nosso .exe?
Obs.: com o ACBrInstall_Trunk2.exe não ocorre nenhum problema em relação ao antivírus.

Obrigado!'

[Victor H. Gonzales - Panda]

2 horas atrás, Valdir Dill disse:

Boa noite,

Seguindo estas orientações -> https://www.projetoacbr.com.br/forum/topic/54978-assinatura-digital-de-exe-e-dll/
Conseguimos adquirir nosso certificado na sectsigo.com...patinando com nosso inglês, rs... mas deu tudo certo...

Também conseguimos efetuar a assinatura, tanto pelo kSign como via linha de comando, com o signtool.exe
Vamos lá em "Propriedades" do arquivo assinado e está tudo certo, mostra os dados do certificado e nossa empresa.

Show de bola o tutorial. Agradecemos. Ajudou bastante.

Mas surgiram algumas dúvidas. Se puderem me ajudar...

1) O Windows Defender
Só deixa "passar" sem aviso, se a assintura for feita com SHA1 e SHA256, através do parâmetros "/fd SHA256".
Pelo kSign conseguimos fazer a "Dual sign" e aí o arquivo fica com duas assinaturas, igual está o ACBrInstall_Trunk2.exe.
Porém, no processo automatizado (signtool), conseguimos assinar apenas um com ou com outro (SHA1 ou SHA256).
A pergunta é: tem como fazer o "Dual sign" via linha de comando? Se sim, como ficaria o comando ?

2) Antivírus
Mesmo assinando nas duas opções (sha1 e sah256), o antivírus gera alerta e, dependendo do antivírus, bloqueia.
Não sei se a assinatura era para resolver (ou pelo menos diminuir) a "reclamação" dos antivírus. Mas não melhorou nada.
Pergunto: essa assinatura com code signing não deveria trazer melhorias nessa confiabilidade dos antivírus em relação ao nosso .exe?
Obs.: com o ACBrInstall_Trunk2.exe não ocorre nenhum problema em relação ao antivírus.

Obrigado!'

1) pelo signtool não é só você pedir para assinar duas vezes e gera essa "dupla assinatura" sua?

2) Só o fato da assinatura já ajuda, conta alguns pontos.

Refente ao certificado tem 2 tipos, OV e EV...

O certificado OV ele é orgânico então precisa de uma reputação reportada e várias pessoas usando para o smart screen.

Já o EV ele é mais agressivo, a reputação é praticamente imediata no smartscreen.

Para assinatura de drivers por exemplo só é aceito o tipo EV no windows 10.

Mas ambos já melhoram a reputação do executável e já informa o fabricante, já não ocorre mais fabricante desconhecido.

Antivírus faz leitura heurística, você pode ter algum comportamento que é detectado como malicioso, aí seria necessário entrar em contato com o antivírus e enviar o executável a eles para inclusão em whitelist.

[Valdir Dill]

11 horas atrás, Victor H. Gonzales - Panda disse:

1) pelo signtool não é só você pedir para assinar duas vezes e gera essa "dupla assinatura" sua?

2) Só o fato da assinatura já ajuda, conta alguns pontos.

Refente ao certificado tem 2 tipos, OV e EV...

O certificado OV ele é orgânico então precisa de uma reputação reportada e várias pessoas usando para o smart screen.

Já o EV ele é mais agressivo, a reputação é praticamente imediata no smartscreen.

Para assinatura de drivers por exemplo só é aceito o tipo EV no windows 10.

Mas ambos já melhoram a reputação do executável e já informa o fabricante, já não ocorre mais fabricante desconhecido.

Antivírus faz leitura heurística, você pode ter algum comportamento que é detectado como malicioso, aí seria necessário entrar em contato com o antivírus e enviar o executável a eles para inclusão em whitelist.

Bom dia,

De fato @Victor H. Gonzales - Panda, o procedimento é executar duas vezes o comando e, na segunda, definir o sha256. No primeiro não precisa, pois o signtool assume o sha1 por default.
Eu havia tentado esse comando duas vezes e não estava aceitando. Mas com sua dica, fucei mais um pouco no Google e consegui.
Vou deixar aqui os comandos para talvez ajudar outrem:

for I := 0 to VListaExesAssinar.count -1 do
begin
 VParams := 'sign /du "' + VSiteGFIL + '" /d "Sistema GFIL" /f ' + VPFX + ' /p ' + VSenhaCert + ' /t  http://timestamp.comodoca.com /v "' + VListaExesAssinar[I] + '"';
 RunCommand( VExeSigTool, PChar(VParams), true, 2); //função do AcbrUtil

 Sleep(1000); //para não dar erro de arquivo em uso

 VParams := 'sign /du "' + VSiteGFIL + '" /d "Sistema GFIL" /f ' + VPFX + ' /p ' + VSenhaCert + ' /fd sha256 /tr http://timestamp.comodoca.com/?td=sha256 /td sha256 /as /v "' + VListaExesAssinar[I] + '"';
 RunCommand(VExeSigTool, PChar(VParams), true, 2);
end; 

Quanto aos bloqueios do antivírus, creio que seja isso mesmo que você mencionou.

Obrigado pela ajuda e informações!

[Victor H. Gonzales - Panda]

Obrigado por reportar.

Fechando. Para novas dúvidas, criar um novo tópico.