Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
Windows: 251. 임의로 만든 EXE 파일을 포함한 ZIP 파일의 압축을 해제할 때 Windows Defender에 의해 삭제되는 경우 [링크 복사], [링크+제목 복사],
조회: 12248
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
http://www.sysnet.pe.kr
첨부 파일
 

임의로 만든 EXE 파일을 포함한 ZIP 파일의 압축을 해제할 때 Windows Defender에 의해 삭제되는 경우

Visual C++로 컴파일한 EXE 파일을 ZIP 파일에 포함해 Issue Tracker에 올려 두었더니, 다른 사람의 Windows PC에서 Defender가 해당 EXE 파일을 바이러스 취급해 버립니다. 그래서 아예 Edge 웹 브라우저 단계에서 zip 파일 링크를 누르면 다운로드 자체가 안 됩니다.

그렇다면 다른 방법을 써야겠군요. ^^ 이번엔 Slack을 통해 zip 파일을 전달했더니 ^^; 이후 ZIP 파일의 압축을 푸는 단계에서 Windows Defender가 EXE 파일이 풀려나오자마자 삭제를 해버립니다.

음... 그리하여 혹시나, 이런 경우 인증서 서명을 하면 되지 않을까 싶어 무심코 ZIP 파일에 했더니,

c:\temp> signtool sign /fd sha1 /n JenniferSoft /t http://timestamp.digicert.com "c:\temp\test.zip"
Done Adding Additional Store
SignTool Error: This file format cannot be signed because it is not recognized.
SignTool Error: An error occurred while attempting to sign: c:\temp\test.zip

오류가 발생하는군요. ^^ 왜냐하면 TXT 파일이나 ZIP 파일에는 인증서 서명을 위한 PE 파일 포맷의 영역이 없기 때문입니다. 

How to sign a zip file on a machine where a certificate is installed of which I do not know the path?
; https://stackoverflow.com/questions/71129341/how-to-sign-a-zip-file-on-a-machine-where-a-certificate-is-installed-of-which-i

즉, PE 파일 유형만 인증서 서명을 지원하기 때문에 ZIP 파일에 하면 안 되고, 그 ZIP 파일 내에 있는 EXE 파일에 대해 서명을 해야 합니다. 다행히, 해당 작업을 한 이후에는 Windows Defender가 더 이상 바이러스로 인식하지 않았습니다. (Windows Defender가 인터넷으로부터 다운로드한 파일에 대해 엄청 민감하게 반응하는군요. ^^)

그렇긴 해도, PE 포맷이 아닌 경우 서명 작업이 필요하다면 별도의 catalog 파일을 생성하는 것으로 대신할 수는 있습니다.

How to sign a ZIP file like I would sign an assembly?
; https://stackoverflow.com/questions/16651959/how-to-sign-a-zip-file-like-i-would-sign-an-assembly/57126302#57126302

하지만, 별도 파일이므로 이걸로는 위/변조만을 체크할 수 있을 뿐이어서 차라리 그런 목적으로는 checksum 정도의 해시를 구하는 것이 더 나을 것입니다.



참고로, 이전에는 잘 실행되던 signtool 명령어가 오류가 발생합니다.

c:\temp> signtool sign /n JenniferSoft /t http://timestamp.digicert.com "c:\temp\ConsoleApp1.exe"
SignTool Error: No file digest algorithm specified. Please specify the digest algorithm with the /fd flag. Using /fd SHA256 is recommended and more secure than SHA1. Calling signtool with /fd sha1 is equivalent to the previous behavior. In order to select the hash algorithm used in the signing certificate's signature, use the /fd certHash option.

당황하지 마시고 ^^ 오류 메시지에서 알려주는 것처럼 /fd 옵션을 명시하시면 됩니다. 

signtool sign /fd sha1 /n JenniferSoft /t http://timestamp.digicert.com "c:\temp\ConsoleApp1.exe"

이때 다중 서명을 한다면 또다시 오류가 발생할 것입니다.

c:\temp> signtool sign /as /fd sha256 /n JenniferSoft /tr http://timestamp.digicert.com "c:\temp\ConsoleApp1.exe"
SignTool Error: No file timestamp algorithm specified. Please specify the timestamp algorithm with the /td flag. Using /td SHA256 is recommended and more secure than SHA1. Calling signtool with /td sha1 is equivalent to the previous behavior.
In order to select the hash algorithm used in the signing certificate's signature, use the /td certHash option.

이번에도 역시 오류 메시지에 답이 있는데요, 이번에는 /td 옵션을 추가하면 됩니다. ^^

signtool sign /as /fd sha256 /n JenniferSoft /td sha256 /tr http://timestamp.digicert.com "c:\temp\ConsoleApp1.exe"

그나저나, 위와 같이 /fd를 명시하는 signtool.exe의 버전을 보면 10.0.22621.1778입니다. 그 이전의 10.0.19041.685 버전은 저 옵션 없이도 잘 실행이 되는군요. ^^



[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 10/16/2023]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com
비밀번호
댓글 작성자
 


... 181  182  183  [184]  185  186  187  188  189  190  191  192  193  194  195  ...
NoWriterDateCnt.TitleFile(s)
390정성태11/6/200626809    답변글 .NET Framework: 74.9. WCF에 SSL 적용 (2) - 서비스 제작파일 다운로드1
356정성태10/7/200622360COM 개체 관련: 19. COM의 Apartment를 이해해 보자. [8]
386light10/30/200617321    답변글 COM 개체 관련: 19.1. [답변]: COM 객체를 글로벌마샬으로 만든후, 사용한다.
355정성태10/9/200625083개발 환경 구성: 19. Internet_Zone 하위에 새로운 코드 그룹을 추가하는 예제 [4]파일 다운로드2
353정성태12/31/200633381개발 환경 구성: 18. 윈도우즈 인증서 서비스 이야기 [3]
354정성태10/23/200635939    답변글 개발 환경 구성: 18.1. 윈도우즈 인증서 서비스 설치
372정성태12/31/200637818    답변글 개발 환경 구성: 18.2. 웹 사이트에 SSL을 적용 [3]
373정성태10/24/200629225    답변글 개발 환경 구성: 18.3. 사용자 입장에서의 HTTPS 접근 (1)
374정성태10/25/200626495    답변글 개발 환경 구성: 18.4. 사용자 입장에서의 HTTPS 접근 (2)
391정성태11/7/200630613    답변글 개발 환경 구성: 18.5. 사용자 인증서 발급
392정성태11/11/200643828    답변글 개발 환경 구성: 18.6. 인증서 관리 (1) - 내보내기/가져오기
394정성태11/9/200628324    답변글 개발 환경 구성: 18.7. 인증서 관리 (2) - 개인키를 내보낼 수 있는 유형의 인증서 발급 [1]
395정성태11/9/200640422    답변글 개발 환경 구성: 18.8. 인증서 관리 (3) - 인증서 MMC 관리자 사용
414정성태12/23/200632146    답변글 개발 환경 구성: 18.9. CRL(Certificate Revocation List) 관리
428정성태12/31/200645022    답변글 개발 환경 구성: 18.10. IIS 7 - SSL 사이트 설정하는 방법 [4]
429정성태12/31/200631018    답변글 개발 환경 구성: 18.11. 서비스를 위한 인증서 설치
352정성태10/2/200620711개발 환경 구성: 17. VPC에 Linux 설치하는 방법 [1]
351정성태10/8/200623263개발 환경 구성: 16. 성태의 무식한(!) 리눅스 탐방기. [4]
349정성태9/26/200621976디버깅 기술: 10. C++/CLI에서 제공되는 명시적인 파괴자의 비밀
347정성태10/6/200625736디버깅 기술: 9. .NET IDisposable 처리 정리 [1]
346정성태9/23/200619256개발 환경 구성: 15. 툴박스에 컨트롤이 자동으로 나타나도록 해주는 옵션 설정
345정성태9/20/200618455오류 유형: 12. WCF 오류 메시지 - Error while trying to reflect on attribute 'MessageContractAttribute'
343정성태10/18/200630313개발 환경 구성: 14. SandCastle 사용법 (NDoc을 대체하는 문서화 도구) [1]파일 다운로드1
344정성태9/20/200620534    답변글 개발 환경 구성: 14.1. 오류 유형 - GAC 에 등록된 DLL 에 대한 문서화 시 오류
340정성태9/15/200619745개발 환경 구성: 13. ISO 파일을 가상 CD-ROM으로 매핑해주는 프로그램
339정성태9/14/200619255오류 유형: 11. ProtocolsSection?
... 181  182  183  [184]  185  186  187  188  189  190  191  192  193  194  195  ...