在用户机器上将我的桌面应用程序列入白名单
Whitelist my desktop application in user's machine
我有一个由 InstallJammer 构建的桌面应用程序。该应用程序没有问题,但是当它安装在用户机器上时,用户机器上的防病毒软件会停止我的应用程序创建的服务,因此它会停止与我的服务器通信。我需要将它列入白名单,这样它就不会被视为对机器构成威胁,并且防病毒软件也不会阻止它。
目前我所知道的是
- 向应用程序添加 'Publisher' 可能有助于将其视为没有风险,因为此过程包含使用证书对我的应用程序进行身份验证的步骤。 (虽然我不知道这是否正确。我已经引用 this link)
- 谷歌搜索我发现一些反病毒网站要求我在那里注册我的应用程序。
我的问题:
- 添加 'publisher' 是否符合我的目的?如果是,它将如何将我的应用程序列入白名单?
- 如果上述选项不起作用,我是否需要加入每个防病毒软件产品的白名单?
在我达到我想要的一切之后回答。
tl;dr;
对于直接阅读答案的人:
我有一个 windows(使用 InstallJammer 构建)的安装程序,它在用户机器上创建 windows 服务,而这些服务经常被防病毒程序和防火墙列入黑名单。同样在您的浏览器中下载它会显示如下图所示的消息。
为什么会出现这种情况:
出现这种情况是因为防病毒软件和防火墙无法识别您的代码(也就是说,它无法验证它是否来自可信赖的来源)。因此,它试图通过停止或不允许它通过网络通信来阻止下载或将服务列入黑名单(服务,因为我指的是我的应用程序)。
解决方案:
您需要通过代码签名证书(从这里开始称为 CSC)验证您的代码(即对您的代码进行数字签名)。这些证书由证书颁发机构提供(从这里开始将称为 CA)。
CA 的一些示例是:Symantec(我使用的那个,因为我们从这个 CA 获得了 webapp 的 SSL 证书)、GlobalSign、DigiCert、Comodo 等)
This page 显示不同 CA 的 CSC 定价表。
获取证书的过程:
这是一个有点乏味的过程,因为它有一定的标准和规则需要遵守。获取证书的过程通常需要几天时间。例如,验证过程需要将许可证副本和一些水电费传真给证书颁发机构,以合理证明我的身份。他们还验证 phone 号码,可能需要与代表交谈。(我对这个过程有点不确定,因为它是由我在美国的客户完成的)。
获得 CSC 后:
您需要将证书另存为 .p12 文件,然后使用该文件对您的代码进行签名。
如何签名:
Microsoft SDK 包含一个工具(signtool.exe),可用于对您的代码进行签名(通常位于 C:\Program Files (x86)\Windows Kits。 0\bin\x86,根据安装的 SDK 版本,'8.0' 在我们的机器上可能会有所不同。
如果您是新手并且还没有达到需要在签名文件过程中自动化(与签名代码不明确)的时间,或者要签名的文件非常少(最多 3 或 4 个)或者有很多文件要签名并且是一个有足够时间的疯狂人,您可能想使用 this 由 DigiCert 提供的优秀实用程序,它提供了一个非常好的 UI(可能是讽刺)来签名并且检查您的文件是否实际签名。谢谢 DigiCert 人员。
如何检查您的文件是否已签名:
当然,最简单的过程是检查文件的属性是否包含数字签名选项卡。另一种方法是微软有工具可以检查你的代码是否经过数字签名,可以通过简单的谷歌搜索找到。
我如何进行代码签名(自动化):
对于我构建的主要 windows 可执行应用程序,它有相当多的二进制文件和可执行文件。所以我创建了一个批处理文件来执行以下签名和构建任务。 (我使用微软的 SignTool 从命令行签署文件)
- 问我要为什么环境构建(开发、暂存或生产)。
- 将所有需要的(构建)文件复制到主文件夹。
- 签署所有内部二进制文件和可执行文件。
- 从命令行本身执行 InstallJammer 构建(正如我之前提到的,我的应用程序是使用 InstallJammer 构建的)。它输出最终的 Setup.exe 文件。
- 然后 Setup.exe 也被签名了。
P.S。 :
代码签名后,您的软件是否成功进入白名单(通过防病毒软件和防火墙进行身份验证或验证)取决于您的证书的信誉。此声誉是通过启发式确定的,良好的声誉意味着您的应用程序被阻止的可能性较小。
给潜伏在那里的极客们的提示
尝试购买最长期限的 CSC 订阅。这将帮助您避免证书更新。
什么是证书滚动?
当您的旧证书过期并且您开始使用新的替换证书签署您的代码时,就会发生证书滚动;您根据旧证书获得的所有声誉都可能受到阻碍,因此您的新证书获得良好声誉可能会有时间滞后。
因此,对于您的 CSC 到期并且您希望避免发生意外的情况,您可能希望从一开始就使用时间戳对您的软件进行签名。谷歌搜索(使用时间戳签名)会让你聪明 5 英寸。
对于在整个过程中帮助过我的人、博客和网站;可以在 Didier Stevens's blog.
上找到更多详细信息
关于这一切的详细解释和所有网络开发人员的强大朋友,Internet Explorer 的智能过滤器可以在 MSDN blog.
上找到
我有一个由 InstallJammer 构建的桌面应用程序。该应用程序没有问题,但是当它安装在用户机器上时,用户机器上的防病毒软件会停止我的应用程序创建的服务,因此它会停止与我的服务器通信。我需要将它列入白名单,这样它就不会被视为对机器构成威胁,并且防病毒软件也不会阻止它。
目前我所知道的是
- 向应用程序添加 'Publisher' 可能有助于将其视为没有风险,因为此过程包含使用证书对我的应用程序进行身份验证的步骤。 (虽然我不知道这是否正确。我已经引用 this link)
- 谷歌搜索我发现一些反病毒网站要求我在那里注册我的应用程序。
我的问题:
- 添加 'publisher' 是否符合我的目的?如果是,它将如何将我的应用程序列入白名单?
- 如果上述选项不起作用,我是否需要加入每个防病毒软件产品的白名单?
在我达到我想要的一切之后回答。
tl;dr;
对于直接阅读答案的人:
我有一个 windows(使用 InstallJammer 构建)的安装程序,它在用户机器上创建 windows 服务,而这些服务经常被防病毒程序和防火墙列入黑名单。同样在您的浏览器中下载它会显示如下图所示的消息。
为什么会出现这种情况:
出现这种情况是因为防病毒软件和防火墙无法识别您的代码(也就是说,它无法验证它是否来自可信赖的来源)。因此,它试图通过停止或不允许它通过网络通信来阻止下载或将服务列入黑名单(服务,因为我指的是我的应用程序)。
解决方案:
您需要通过代码签名证书(从这里开始称为 CSC)验证您的代码(即对您的代码进行数字签名)。这些证书由证书颁发机构提供(从这里开始将称为 CA)。
CA 的一些示例是:Symantec(我使用的那个,因为我们从这个 CA 获得了 webapp 的 SSL 证书)、GlobalSign、DigiCert、Comodo 等)
This page 显示不同 CA 的 CSC 定价表。
获取证书的过程:
这是一个有点乏味的过程,因为它有一定的标准和规则需要遵守。获取证书的过程通常需要几天时间。例如,验证过程需要将许可证副本和一些水电费传真给证书颁发机构,以合理证明我的身份。他们还验证 phone 号码,可能需要与代表交谈。(我对这个过程有点不确定,因为它是由我在美国的客户完成的)。
获得 CSC 后:
您需要将证书另存为 .p12 文件,然后使用该文件对您的代码进行签名。
如何签名:
Microsoft SDK 包含一个工具(signtool.exe),可用于对您的代码进行签名(通常位于 C:\Program Files (x86)\Windows Kits。 0\bin\x86,根据安装的 SDK 版本,'8.0' 在我们的机器上可能会有所不同。
如果您是新手并且还没有达到需要在签名文件过程中自动化(与签名代码不明确)的时间,或者要签名的文件非常少(最多 3 或 4 个)或者有很多文件要签名并且是一个有足够时间的疯狂人,您可能想使用 this 由 DigiCert 提供的优秀实用程序,它提供了一个非常好的 UI(可能是讽刺)来签名并且检查您的文件是否实际签名。谢谢 DigiCert 人员。
如何检查您的文件是否已签名:
当然,最简单的过程是检查文件的属性是否包含数字签名选项卡。另一种方法是微软有工具可以检查你的代码是否经过数字签名,可以通过简单的谷歌搜索找到。
我如何进行代码签名(自动化):
对于我构建的主要 windows 可执行应用程序,它有相当多的二进制文件和可执行文件。所以我创建了一个批处理文件来执行以下签名和构建任务。 (我使用微软的 SignTool 从命令行签署文件)
- 问我要为什么环境构建(开发、暂存或生产)。
- 将所有需要的(构建)文件复制到主文件夹。
- 签署所有内部二进制文件和可执行文件。
- 从命令行本身执行 InstallJammer 构建(正如我之前提到的,我的应用程序是使用 InstallJammer 构建的)。它输出最终的 Setup.exe 文件。
- 然后 Setup.exe 也被签名了。
P.S。 : 代码签名后,您的软件是否成功进入白名单(通过防病毒软件和防火墙进行身份验证或验证)取决于您的证书的信誉。此声誉是通过启发式确定的,良好的声誉意味着您的应用程序被阻止的可能性较小。
给潜伏在那里的极客们的提示 尝试购买最长期限的 CSC 订阅。这将帮助您避免证书更新。
什么是证书滚动? 当您的旧证书过期并且您开始使用新的替换证书签署您的代码时,就会发生证书滚动;您根据旧证书获得的所有声誉都可能受到阻碍,因此您的新证书获得良好声誉可能会有时间滞后。
因此,对于您的 CSC 到期并且您希望避免发生意外的情况,您可能希望从一开始就使用时间戳对您的软件进行签名。谷歌搜索(使用时间戳签名)会让你聪明 5 英寸。
对于在整个过程中帮助过我的人、博客和网站;可以在 Didier Stevens's blog.
上找到更多详细信息关于这一切的详细解释和所有网络开发人员的强大朋友,Internet Explorer 的智能过滤器可以在 MSDN blog.
上找到