Windows Defenderがプログラムを誤って検出します
私はサイバーセキュリティ会社のために働いています
私たちのプログラムはWindows Defenderによって検出され続けています.
その理由のために、以下のURLを通してファイルを提出し、それが防御側でホワイトリストされることを願っています. https://www.microsoft.com/ja-jp/wdsi/filesubmission. 提出結果は、私たちのプログラムは以下のように検出から削除されたことを言います.
ページには、最新のマルウェア定義またはオンライン定義でも、私たちのプログラムはDefenderによって検出されるべきではありません.
しかし私たちのラボマシンでは、誤検出はまだ最新の定義で起こり続けます.
私の質問は...
なぜこれが起こるのですか?
誤検出を本当に取り除く方法はありますか?
返信リスト(回答:14)
Windows Defenderでの除外としてプログラムを追加してみてください.
応答1# ->にスキップ3 #FavianCプログラムは、お客様のEDRスキャナーとして機能します.
スキャナーをすべてのエンドポイントに展開する必要があります.
Active Directoryを使用すると、問題なくホワイトリストに追加できます.
しかし、この種のサービスがなければ、ユーザーが手動で追加する必要があります.
手動でホワイトリストに追加せずに、検出からスキャナーを削除する方法があることを願っています.
ソフトウェア開発者として送信し、MSアカウントにサインインして、Defenderチームと対話できるようにMSアカウントにサインインしていますか.ここでこれらの特定の選択肢を参照してください.
https://www.microsoft.com/ja-jp/wdsi/filesubmis...
___
応答2# ->にスキップ4 #FavianCご提供いただいたリンクからファイルを送信しました.
彼らが検出を削除したことを示しています.
しかし、ラボ環境では、スキャナーを起動すると、Windows Defenderが表示され、スキャナーがブロックされます.
署名の検出は削除されていますが、スキャナーによってWindows Defenderがハッカーツールであると思わせる動作がいくつかあると考えています.
Googleのスキャナーには、信頼されたルート機関によって署名されています.
プログラムをホワイトリストに追加するために他にできることはありますか.
応答4# ->にスキップ9 #RobKochここで特定の識別情報を提供したくないことを理解していますが、あなたが提供することができる追加の情報は、検出が行われる理由を理解するのを助けるかもしれません.
代わりにMSDN開発者フォーラム内で投稿するように指示します.これはまだ役立つかもしれませんが、これらの種類の問題に固有のフォーラムが実際にそこに存在することを知りません.見てみる価値があるかもしれません.
ここでは、検出自体の正確な名称など、ファイル名だけを除く特定の検出情報のいずれかを指定することができれば、検出隠蔽に関するWindowsセキュリティロギング内にあるパスと全体の文字列
上で行ったときの特定のファイル名だけ.スキャナ装置をオンにするとき、またはプログラム実行可能ファイルを手動で起動すると、検出が発生しますか?言い換えれば、検出されたモジュールは、PCユーザーによって起動されている何らかの一種のドライバまたは単に実行可能Applicationですか?
それは問題の一部であるかもしれませんが、包含のための完全に異なる要求のセットがあります. Windows HardWaredriverの署名 他の実行可能コードよりも、これらはWindowsカーネルの部分への親密なアクセス許可を許可されています.
実際には、この経路で慎重に見て、私はあなたを助けることができる誰かと連絡を取り合うかもしれないそのページ上のいくつかのMSDNフォーラムリンクを含む、Windowsハードウェアエンジニアリングサポートに関する次のサポート情報を見つけます.たとえあなたでも
ドライバを書きたい、これは実際にあなたが操作しようとしている方法があなたの問題の一部であるかどうかを判断するのに役立つかもしれません.https://developer.microsoft.com/ja-jp/windows/hardware/support.
証明書に追加されたホワイトリストは、私が見つけたほど困難であると仮定していることはまだあることがまだあることがまだあるかもしれません.'推測された、この特定の具体的に関与するかもしれません
ケース.また、このApplicationを使用している開発ツールでもよく知られ、デジタル署名されていますか?アプリが組み立てられたときに含まれていない実行可能モジュールのいずれかが署名されていないか、または他の真のマルウェアに含まれることが知られている場合、アプリ
この協会のため、不要な注意を払っている場合があります.上記の追加情報は、検出の真の理由の明確な絵を提供するかもしれません.それがなければ私たちは単に推測し、何を責めるべきかを探していて、どんな場合にもあなたを助けることはありません.
rob
応答9# ->にスキップ11 #FavianCdata>これは、Windows DefenderからのESENTログです.プログラム名をマークしてデータを編集しています(中国語で書かれているため、Thekekがヘルプ(?)
を翻訳する可能性があるものを翻訳します.
Defenderからのイベントログがここで起動します
イベントログ名: Microsoft-Windows-Windows Defender/Operational
ソース: Microsoft-Windows-Windows Defender
日付: 2019/7/22 11:26:54
イベントID: 1116
カテゴリー: なし
重大度: 警告
キーワード:
ユーザー: システム
コンピュータ: Desktop-IBGAD6Q
説明:
Windows Defenderガス移動機は悪意のあるコードや潜在的なゴミを検出しました...
詳細については、以下を参照してください.
リンク:LinkID&name= hacktool:win32/mimikatz.ptt&脅威IID= 2147735582&Enterprise= 0名前:Hacktool:win32/mimikatz.ptt
識別コード:2147735582
重症度:高
カテゴリ:ツール
パス:プロセス:_pid:9128、ProcessStart:132082396135731898
発信元の検出:不明
検出タイプ:エンティティ
ソース:システム
ユーザ:NT Authority\System
ハンドラ名:
c:\users\<プログラムパス>
フィーチャーコード:AV:1.299.230.0、AS:1.299.230.0
エンジンversion:am:1.16200.1、NIS:1.1.16200.1
イベントXML:
<
<システム> <プロバイダ名= "Microsoft-Windows-Windows Defender" GUID= "{11cd958a-C507-4f3-B3F2-5FD9DFBD2C78}"/> 1116 0 3 0 0 0x8000000000000000 1233 <相関activityID= "{8322B69E-CCC6-4056-89-89-89-89-89-89-89ed-C1CFAB958640}"/> <実行ProcessID= "4784" THRESHID= "6416"/> <チャネル>Microsoft-Windows-Windows Defender/Operational <コンピュータ>Desktop-IBGAD6Q%% 827 4.18.1906.3 {086D08E2-6D57-46F8-A25A-53EF8881016B}} 2019-07-22T03:26:54.405Z 2147735582 Hacktool:win32/mimikatz.ptt 4 高 34 ツール
1116 0 3 0 0 0x8000000000000000 1233 Microsoft-Windows-Windows Defender/Operational DESKTOP-IBGAD6Q %%827 4.18.1906.3 {086D08E2-6D57-46F8-A25A-53EF8881016B} 2019-07-22T03:26:54.405Z 2147735582 HackTool:Win32/Mimikatz.PTT 4 High 34 Tool リンク:LinkID&name= hacktool:win32/mimikatz.ptt&脅威IID= 2147735582&Enterprise= 0 1 1 2 %% 820 C:\users\<プログラムパス>
data>NTHORITY\SYSTEM プロセス:_pid:9128、ProcessStart:132082396135731898 0 %% 844 3 %% 848 0 %% 822 0 9 %% 887 0x00000000 操作は正常に完了しました... 0 0 追加の操作が必要ありません AV:1.299.230.0、AS:1.299.230.0、NIS:1.299.230.0 am:1.1.16200.1、NIS:1.1.16200.1
Defenderからのイベントログはここで終了する
出行可能な実行可能ファイル
エンドポイントにスキャナを入れると検出は行われません.
私はできる限り多くの情報を提供しようとします.
助けようとしていただきありがとうございます.
応答11# ->にスキップ14 #RobKochファビアンチェン、
私は従業員やマイクロソフトの代表ではないので、あなたが提供したイベントログ情報ごとに、プログラムがリンクされた一般的な検出の一般的なタイプの私の個人的な理解と解釈です.お願いします
その光でそれを取って、何が起こるかもしれないものを理解するのがより良い目的でそれを取って、それが私の応答の唯一の理由です.イベントに含まれているURLを選択すると、検出のために次のMicrosoftセキュリティ情報の説明が表示されます.
一般に、一般的に「ハック」または一般的に攻撃システムに使用することができるソフトウェアの含有を何らかの形で包含していることを表明しています.この検出についてはそうではないので
具体的な技術的な詳細を含んでいます.この項目のトップ検索結果は、開発者によって書かれたREADME.MDファイルの説明に次の段落を含む開発者に人気のあるウェブサイトで見つかったツールでした.また、Microsoft SmartScreenはアラート警告を表示したことにも注意してください.
「このサイトは安全ではない」と報告されており、これがこの検出によって識別される特定の悪意のある項目の起源に非常に高いことを意味しています."今は、メモリから平文のパスワード、ハッシュ、ピンコード、およびKerberosチケットを抽出することがよく知られています.
Mimikatz
CAN
Pass-The-Hash、Pass-The TheikeまたはBuild黄金のチケットを実行します."検出情報はどの特定のモジュールが関与しているかを明示的に定義していませんが、ポータブル実行可能ファイルが検出されているため、コードアセンブリ内の何かが存在する部分が含まれていることを推測できます.
このオリジナルApplicationのコードは、MicrosoftがHackToolとして識別されます.私はここで特定のコードを識別しようとしません.私の経験でのみ、そうでないような類似のコードに関連する多くの同様の検出イベントは、通常、元のものに含まれるライブラリなどのモジュールに含まれています.
アプリは悪意のある、または類似のコードの少なくともかなりの部分であると考えられています.SOコード内のいくつかの同様の活動やモジュールを識別できる場合は、本当に必要な操作をサポートする代替モジュールを使用して、すべての可能な場合はこれらの部分を取り除くことが最善です.必要なら
、必要な活動を完全に実行する代替方法を探しています.あなたのアプリをホワイトリストされたことを試みるよりもむしろこの道を推薦するのは、多くの場合、検出に行われた修正はあなたのコードのその単一の特定のリリースの問題だけであり、検出を引き起こします
リリースしたプログラムの新しいリビジョンごとに戻る.繰り返しますが、これらは、これらと他のフォーラムの初期のベータ段階から、そしてマイクロソフトからの公式の回答のない以来、マイクロソフトのセキュリティApplicationのボランティアサポートに関わっている人の観察です.なんでも
公式ディスカッションあなたが述べたものを否定または修正するかもしれないかもしれませんが、一般的に私はこれらがあなたが学ぶことを正確な描写です.rob
応答5# ->にスキップ6 #FavianCはい、それを追求しました.
私たちはサイバーセキュリティ企業であると述べました.
私たちは多くの顧客にサービスを提供してきました.
そして、私たちのデジタル署名に署名した権限
彼らは私たちのプログラムが検出から削除されたと返信しました.
しかし、マルウェアの署名の検出のみを削除したようです.
彼らが返信したメールは、ロボットによって書かれたもののように思われます...
自国のマイクロソフトサポートにも問い合わせた.
この問題を解決するための技術的な能力がないため、ヘルプを求めてフォーラムに来るように言われました.
バグレポートを提出してください.ショートリンクを送ってください.投票して、Windows Insider MVPとしての能力のあるWindowsエンジニアの注意(エスカレート)につなげてください.
windows 10.help/blogs/entry...
上記のリンクの情報は、信頼できるMicrosoft mvpブログから提供されています.
応答10# ->にスキップ12 #FavianCWindows Defenderの偽陽性検出のためのフィードバックを提出しました.
これはそれのためのショートリンクです:
さらなるプロセスに必要な情報が必要な場合は、役立ちます.
私たちを助けてくれてありがとうございました.
これであなたの助けをありがとう.追加情報が必要な場合は、このスレッドを更新します.