Сообщение Re: Моя подпись недостаточно хороша от 18.01.2023 18:19
Изменено 18.01.2023 18:21 autopsist
Re: Моя подпись недостаточно хороша
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Всем привет,
U_E>Столкнулся с интересной штукой. Есть у меня продукт, который работает, как плагин для Visual Studio. Он устанавливает хуки, чтобы расширить функционал Visual Studio.
U_E>Недавно мне пишет кастомер о проблеме, и выясняется, что моя DLL-ка удаляется антивирусом. Кастомер порылся в логах и пишет мне, что их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании. И даже прислал мне скриншот какой-то их корпоративной системы безопасности, где указана моя DLL и написано, что Signature Verification: NotSigned.
А что на VirusTotal напротив SentinelOne указано?
NotSigned — это "не подписано". На всякий случай попроси запаковать их DLL в архив и прислать тебе на проверку.
Проверь целостность, может она реально на их стороне изменена и подпись слетела в результате изменений?!
U_E>Кто-нибудь с таким сталкивался?
SentinelOne — это непробиваемая жопа, но писать им однозначно нужно. Придется напоминать периодически, что засабмиьил фолс давно, но они не реагируют.
Кроме этого можно написать пользователю, чтобы он сам DLL добавил в белый список.
Если кратко, то — клиенты SentinelOne имеют доступ к консоли управления ( management console ) SentinelOne (или они могут позвонить в их службу поддержки и попросить сотрудников службы поддержки помочь им запустить консоль управления). В ней они могут выбрать твое программное обеспечение и внести его в белый список для всей своей компании.
При внесении ПО в белый список вся компания клиента больше не будет сталкиваться с проблемой ложного срабатывания на твое ПО в SentinelOne. Это не решает проблему полностью, но позволит клиентам SantinelOne, использующим твое ПО, продолжать им пользоваться.
U_E>Всем привет,
U_E>Столкнулся с интересной штукой. Есть у меня продукт, который работает, как плагин для Visual Studio. Он устанавливает хуки, чтобы расширить функционал Visual Studio.
U_E>Недавно мне пишет кастомер о проблеме, и выясняется, что моя DLL-ка удаляется антивирусом. Кастомер порылся в логах и пишет мне, что их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании. И даже прислал мне скриншот какой-то их корпоративной системы безопасности, где указана моя DLL и написано, что Signature Verification: NotSigned.
А что на VirusTotal напротив SentinelOne указано?
NotSigned — это "не подписано". На всякий случай попроси запаковать их DLL в архив и прислать тебе на проверку.
Проверь целостность, может она реально на их стороне изменена и подпись слетела в результате изменений?!
U_E>Кто-нибудь с таким сталкивался?
SentinelOne — это непробиваемая жопа, но писать им однозначно нужно. Придется напоминать периодически, что засабмиьил фолс давно, но они не реагируют.
Кроме этого можно написать пользователю, чтобы он сам DLL добавил в белый список.
Если кратко, то — клиенты SentinelOne имеют доступ к консоли управления ( management console ) SentinelOne (или они могут позвонить в их службу поддержки и попросить сотрудников службы поддержки помочь им запустить консоль управления). В ней они могут выбрать твое программное обеспечение и внести его в белый список для всей своей компании.
При внесении ПО в белый список вся компания клиента больше не будет сталкиваться с проблемой ложного срабатывания на твое ПО в SentinelOne. Это не решает проблему полностью, но позволит клиентам SantinelOne, использующим твое ПО, продолжать им пользоваться.
Re: Моя подпись недостаточно хороша
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Всем привет,
U_E>Столкнулся с интересной штукой. Есть у меня продукт, который работает, как плагин для Visual Studio. Он устанавливает хуки, чтобы расширить функционал Visual Studio.
U_E>Недавно мне пишет кастомер о проблеме, и выясняется, что моя DLL-ка удаляется антивирусом. Кастомер порылся в логах и пишет мне, что их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании. И даже прислал мне скриншот какой-то их корпоративной системы безопасности, где указана моя DLL и написано, что Signature Verification: NotSigned.
А что на VirusTotal напротив SentinelOne указано? static engine — malicious?
NotSigned — это "не подписано". На всякий случай попроси запаковать их DLL в архив и прислать тебе на проверку.
Проверь целостность, может она реально на их стороне изменена и подпись слетела в результате изменений?!
U_E>Кто-нибудь с таким сталкивался?
SentinelOne — это непробиваемая жопа, но писать им однозначно нужно. Придется напоминать периодически, что засабмитил фолс давно, но они не реагируют.
Кроме этого можно написать пользователю, чтобы он сам DLL добавил в белый список.
Если кратко, то — клиенты SentinelOne имеют доступ к консоли управления ( management console ) SentinelOne (или они могут позвонить в их службу поддержки и попросить сотрудников службы поддержки помочь им запустить консоль управления). В ней они могут выбрать твое программное обеспечение и внести его в белый список для всей своей компании.
При внесении ПО в белый список вся компания клиента больше не будет сталкиваться с проблемой ложного срабатывания на твое ПО в SentinelOne. Это не решает проблему полностью, но позволит клиентам SantinelOne, использующим твое ПО, продолжать им пользоваться.
U_E>Всем привет,
U_E>Столкнулся с интересной штукой. Есть у меня продукт, который работает, как плагин для Visual Studio. Он устанавливает хуки, чтобы расширить функционал Visual Studio.
U_E>Недавно мне пишет кастомер о проблеме, и выясняется, что моя DLL-ка удаляется антивирусом. Кастомер порылся в логах и пишет мне, что их команда безопасности выяснила, что проблема в том, что в моей подписи указано мое имя (я — ИП, компании у меня нет), а не название какой-либо компании. И даже прислал мне скриншот какой-то их корпоративной системы безопасности, где указана моя DLL и написано, что Signature Verification: NotSigned.
А что на VirusTotal напротив SentinelOne указано? static engine — malicious?
NotSigned — это "не подписано". На всякий случай попроси запаковать их DLL в архив и прислать тебе на проверку.
Проверь целостность, может она реально на их стороне изменена и подпись слетела в результате изменений?!
U_E>Кто-нибудь с таким сталкивался?
SentinelOne — это непробиваемая жопа, но писать им однозначно нужно. Придется напоминать периодически, что засабмитил фолс давно, но они не реагируют.
Кроме этого можно написать пользователю, чтобы он сам DLL добавил в белый список.
Если кратко, то — клиенты SentinelOne имеют доступ к консоли управления ( management console ) SentinelOne (или они могут позвонить в их службу поддержки и попросить сотрудников службы поддержки помочь им запустить консоль управления). В ней они могут выбрать твое программное обеспечение и внести его в белый список для всей своей компании.
При внесении ПО в белый список вся компания клиента больше не будет сталкиваться с проблемой ложного срабатывания на твое ПО в SentinelOne. Это не решает проблему полностью, но позволит клиентам SantinelOne, использующим твое ПО, продолжать им пользоваться.