Exe Digital Signieren
-
Hi Leuts, ihr kennt das Problem sicher das Virenscanner harmlose Programme als bösartig erkennen und davor warnen. Ich wollt eig nur nen kleines Konsolenspiel entwickeln, dabei werden natürlich Tastendrücke abgefragt. Und schon meckert mein Kaspersky rum das wäre nen PDM-Keylogger. Es ist natürlich nicht von Vorteil wenn ich dann das Programmen andern Leuten schicke und diese solch eine Meldung bekommen. Wie ich gelesen habe soll eine Digitale Signatur da Abhilfe schaffen. nach erfolglosen 7 Stunden googlen wende ich mich nun an euch mit folgenden Fragen: Gibt es eine möglich keit eine Datei Digital zu signieren ohne dafür Geld zu bezahlen? Es gibt ja solche Programme wie "Tech-Pro Code Sign" und "SignGUI" bringen mir die etwas? Wie erzeugt man eine PFX Datei? (die von den 2 Programmen benötigt wird)
schonmal DANKE^^
-
EndOfSystem schrieb:
Gibt es eine möglich keit eine Datei Digital zu signieren ohne dafür Geld zu bezahlen?
Wenn es das gäbe, würde dann nicht jeder Malware-Programmierer das auch benutzen, um seine Viren zu signieren?
-
würde jeder Malware-Programmierer der was großes vorhat nicht in der lage sein 120€ zu bezahlen?
-
EndOfSystem schrieb:
würde jeder Malware-Programmierer der was großes vorhat nicht in der lage sein 120€ zu bezahlen?
Vermutlich ist der Erwerb einer Signatur auch mit der Preisgabe der Identität vebunden, oder?
-
da hasste nicht ganz unrecht^^, aber was machen solche Programme wie die, die ich oben genannt hab?
-
Erstmal, eine Digitale Signatur kostet kein Geld. Es sind ja nur virtueller Bits & Bytes. Folglich kannst du dir selber ein Zertifikat erstellen und damit deine Dateien signieren. Wenn die Signatur überprüft wird, gibt es immerhin nur eine Warnung, das das Zertifikat nicht von einer bekannten CA-Instanz zertifiziert wurde.
Folglich kostet nicht das Zertifikat Geld, sondern nur die Beglaubigung, durch eine vertrauenswürdige CA. Bekannte Stellen sind S-Trust (Sparkassen), T-Systems, VeriSign, Thawte u.a. Du kannst also schon versuchen eine billigere Stelle zu finden.
Es gibt auch kostenlose Beglaubigungen, z.B. von http://www.cacert.org/. Aber ich weiß nicht, ob die auch Programmcode-Zertifikate beglaubigen. Weiterhin ist CAcert.org leider meistens nicht unter den vertrauenswürdigen Stellen. Man bekommt also trotzdem eine Warnung.
Letztendlich würde ich erstmal einfach selber ein Zertifikat erstellen. Das kostenlose Windows SDK hat da jedenfalls Tools dafür. Ich weiß aber aus dem Stehgreif leider nicht wie das Kommandozeilen-Tool heißt.
-
das ist signtool, das habe ich auch versucht, wies in tuts beschrieben wird, hat aber net funktioniert
-
EndOfSystem schrieb:
das ist signtool, das habe ich auch versucht, wies in tuts beschrieben wird, hat aber net funktioniert
Hast du außer in "tuts" auch mal in der offiziellen Dokumentation nachgeschaut, wie man das Programm benutzt?
-
EndOfSystem schrieb:
da hasste nicht ganz unrecht^^, aber was machen solche Programme wie die, die ich oben genannt hab?
Meinst du echte Malware? Die ist entweder nicht signiert und die meisten Leute installieren es trotzdem. Oder sie sind signiert, und man ignoriert die Warnung. Oder sie sind signiert und beglaubigt, und dem Signierer ist es egal, ob sein Name bekannt ist.
Letztendlich garantiert eine Signatur nicht, das man keine Mailware bekommt. Aber es ist eher unwahrscheinlich, das jemand mit seinem zurück verfolgbaren Namen solche Software in Umlauf bringt.
-
@christopf, ja hab ich. ich hab auf der offiziellen Seite dazu nachgeschaut.
-
Heißt "hat aber net funktioniert", es wurde keine Signatur erstellt oder es wurde trotzdem noch als Keylogger erkannt? Wenn letzteres: die Antivierenprogramme überspringen natürlich nicht blind sämtliche Programme mit Signatur, das könnte dann ja jeder machen.