Windows Defenderがプログラムを誤って検出します

応答1# ->にスキップ

3 #

FavianC 2019-07-23 14:50

プログラムは、お客様のEDRスキャナーとして機能します.

スキャナーをすべてのエンドポイントに展開する必要があります.

Active Directoryを使用すると、問題なくホワイトリストに追加できます.

しかし、この種のサービスがなければ、ユーザーが手動で追加する必要があります.

手動でホワイトリストに追加せずに、検出からスキャナーを削除する方法があることを願っています.

応答2# ->にスキップ

4 #

FavianC 2019-07-23 15:18

ご提供いただいたリンクからファイルを送信しました.

彼らが検出を削除したことを示しています.

しかし、ラボ環境では、スキャナーを起動すると、Windows Defenderが表示され、スキャナーがブロックされます.

署名の検出は削除されていますが、スキャナーによってWindows Defenderがハッカーツールであると思わせる動作がいくつかあると考えています.

Googleのスキャナーには、信頼されたルート機関によって署名されています.

プログラムをホワイトリストに追加するために他にできることはありますか.

応答4# ->にスキップ

9 #

RobKoch 2019-07-23 21:31

ここで特定の識別情報を提供したくないことを理解していますが、あなたが提供することができる追加の情報は、検出が行われる理由を理解するのを助けるかもしれません.

代わりにMSDN開発者フォーラム内で投稿するように指示します.これはまだ役立つかもしれませんが、これらの種類の問題に固有のフォーラムが実際にそこに存在することを知りません.見てみる価値があるかもしれません.

ここでは、検出自体の正確な名称など、ファイル名だけを除く特定の検出情報のいずれかを指定することができれば、検出隠蔽に関するWindowsセキュリティロギング内にあるパスと全体の文字列
上で行ったときの特定のファイル名だけ.

スキャナ装置をオンにするとき、またはプログラム実行可能ファイルを手動で起動すると、検出が発生しますか?言い換えれば、検出されたモジュールは、PCユーザーによって起動されている何らかの一種のドライバまたは単に実行可能Applicationですか?

それは問題の一部であるかもしれませんが、包含のための完全に異なる要求のセットがあります. Windows HardWaredriverの署名 他の実行可能コードよりも、これらはWindowsカーネルの部分への親密なアクセス許可を許可されています.

実際には、この経路で慎重に見て、私はあなたを助けることができる誰かと連絡を取り合うかもしれないそのページ上のいくつかのMSDNフォーラムリンクを含む、Windowsハードウェアエンジニアリングサポートに関する次のサポート情報を見つけます.たとえあなたでも
ドライバを書きたい、これは実際にあなたが操作しようとしている方法があなたの問題の一部であるかどうかを判断するのに役立つかもしれません.

https://developer.microsoft.com/ja-jp/windows/hardware/support.

証明書に追加されたホワイトリストは、私が見つけたほど困難であると仮定していることはまだあることがまだあることがまだあるかもしれません.'推測された、この特定の具体的に関与するかもしれません
ケース.

また、このApplicationを使用している開発ツールでもよく知られ、デジタル署名されていますか?アプリが組み立てられたときに含まれていない実行可能モジュールのいずれかが署名されていないか、または他の真のマルウェアに含まれることが知られている場合、アプリ
この協会のため、不要な注意を払っている場合があります.

上記の追加情報は、検出の真の理由の明確な絵を提供するかもしれません.それがなければ私たちは単に推測し、何を責めるべきかを探していて、どんな場合にもあなたを助けることはありません.

rob

応答9# ->にスキップ

11 #

FavianC 2019-07-24 15:01

data>これは、Windows DefenderからのESENTログです.

プログラム名をマークしてデータを編集しています(中国語で書かれているため、Thekekがヘルプ(?)

を翻訳する可能性があるものを翻訳します.

---

Defenderからのイベントログがここで起動します

---

イベントログ名: Microsoft-Windows-Windows Defender/Operational

ソース: Microsoft-Windows-Windows Defender

日付: 2019/7/22 11:26:54

イベントID: 1116

カテゴリー: なし

重大度: 警告

キーワード:

ユーザー: システム

コンピュータ: Desktop-IBGAD6Q

説明:

Windows Defenderガス移動機は悪意のあるコードや潜在的なゴミを検出しました...

詳細については、以下を参照してください.

リンク:LinkID&name= hacktool:win32/mimikatz.ptt&脅威IID= 2147735582&Enterprise= 0

名前:Hacktool:win32/mimikatz.ptt

識別コード:2147735582

重症度:高

カテゴリ:ツール

パス:プロセス:_pid:9128、ProcessStart:132082396135731898

発信元の検出:不明

検出タイプ:エンティティ

ソース:システム

ユーザ:NT Authority\System

ハンドラ名:c:\users\<プログラムパス>

フィーチャーコード:AV:1.299.230.0、AS:1.299.230.0

エンジンversion:am:1.16200.1、NIS:1.1.16200.1

イベントXML:

< <システム> <プロバイダ名= "Microsoft-Windows-Windows Defender" GUID= "{11cd958a-C507-4f3-B3F2-5FD9DFBD2C78}"/> 1116 0 3 0 0 0x8000000000000000 1233 <相関activityID= "{8322B69E-CCC6-4056-89-89-89-89-89-89-89ed-C1CFAB958640}"/> <実行ProcessID= "4784" THRESHID= "6416"/> <チャネル>Microsoft-Windows-Windows Defender/Operational <コンピュータ>Desktop-IBGAD6Q %% 827 4.18.1906.3 {086D08E2-6D57-46F8-A25A-53EF8881016B}} 2019-07-22T03:26:54.405Z 2147735582 Hacktool:win32/mimikatz.ptt 4 高 34 ツール

1116
0
3
0
0
0x8000000000000000

1233


Microsoft-Windows-Windows Defender/Operational
DESKTOP-IBGAD6Q



%%827
4.18.1906.3
{086D08E2-6D57-46F8-A25A-53EF8881016B}
2019-07-22T03:26:54.405Z




2147735582
HackTool:Win32/Mimikatz.PTT
4
High
34
Tool


リンク:LinkID&name= hacktool:win32/mimikatz.ptt&脅威IID= 2147735582&Enterprise= 0
1


1
2
%% 820
C:\users\<プログラムパス>data>NTHORITY\SYSTEM


プロセス:_pid:9128、ProcessStart:132082396135731898
0
%% 844
3
%% 848
0
%% 822
0
9
%% 887


0x00000000
操作は正常に完了しました...


0
0
追加の操作が必要ありません




AV:1.299.230.0、AS:1.299.230.0、NIS:1.299.230.0
am:1.1.16200.1、NIS:1.1.16200.1

---

Defenderからのイベントログはここで終了する

---

出行可能な実行可能ファイル

エンドポイントにスキャナを入れると検出は行われません.

私はできる限り多くの情報を提供しようとします.

助けようとしていただきありがとうございます.

応答11# ->にスキップ

14 #

RobKoch 2019-07-25 03:26

ファビアンチェン、

私は従業員やマイクロソフトの代表ではないので、あなたが提供したイベントログ情報ごとに、プログラムがリンクされた一般的な検出の一般的なタイプの私の個人的な理解と解釈です.お願いします
その光でそれを取って、何が起こるかもしれないものを理解するのがより良い目的でそれを取って、それが私の応答の唯一の理由です.

イベントに含まれているURLを選択すると、検出のために次のMicrosoftセキュリティ情報の説明が表示されます.

https://www.microsoft.com/ja-jp/wdsi/threats/malware-enyclopedia-description?name=hacktool%3awin32%2fmimikatz.ptt&threatid=2147735582&enterprise=0.

一般に、一般的に「ハック」または一般的に攻撃システムに使用することができるソフトウェアの含有を何らかの形で包含していることを表明しています.この検出についてはそうではないので
具体的な技術的な詳細を含んでいます.

この項目のトップ検索結果は、開発者によって書かれたREADME.MDファイルの説明に次の段落を含む開発者に人気のあるウェブサイトで見つかったツールでした.また、Microsoft SmartScreenはアラート警告を表示したことにも注意してください.
「このサイトは安全ではない」と報告されており、これがこの検出によって識別される特定の悪意のある項目の起源に非常に高いことを意味しています.

"今は、メモリから平文のパスワード、ハッシュ、ピンコード、およびKerberosチケットを抽出することがよく知られています.MimikatzCAN
Pass-The-Hash、Pass-The TheikeまたはBuild黄金のチケットを実行します."

検出情報はどの特定のモジュールが関与しているかを明示的に定義していませんが、ポータブル実行可能ファイルが検出されているため、コードアセンブリ内の何かが存在する部分が含まれていることを推測できます.
このオリジナルApplicationのコードは、MicrosoftがHackToolとして識別されます.

私はここで特定のコードを識別しようとしません.私の経験でのみ、そうでないような類似のコードに関連する多くの同様の検出イベントは、通常、元のものに含まれるライブラリなどのモジュールに含まれています.
アプリは悪意のある、または類似のコードの少なくともかなりの部分であると考えられています.

SOコード内のいくつかの同様の活動やモジュールを識別できる場合は、本当に必要な操作をサポートする代替モジュールを使用して、すべての可能な場合はこれらの部分を取り除くことが最善です.必要なら
、必要な活動を完全に実行する代替方法を探しています.

あなたのアプリをホワイトリストされたことを試みるよりもむしろこの道を推薦するのは、多くの場合、検出に行われた修正はあなたのコードのその単一の特定のリリースの問題だけであり、検出を引き起こします
リリースしたプログラムの新しいリビジョンごとに戻る.

繰り返しますが、これらは、これらと他のフォーラムの初期のベータ段階から、そしてマイクロソフトからの公式の回答のない以来、マイクロソフトのセキュリティApplicationのボランティアサポートに関わっている人の観察です.なんでも
公式ディスカッションあなたが述べたものを否定または修正するかもしれないかもしれませんが、一般的に私はこれらがあなたが学ぶことを正確な描写です.

rob