Привет. Запарил доктор, постоянно третирует вот эту утилиту: https://mridgers.github.io/clink/
Срабатывает какой-то не сигнатурный, а поведенческий анализатор - и утилита улетает в карантин, достать её можно только после перезагрузки. DPH:Process.Inject.3.64
Ну да, процесс инжект. Именно этим clink и занимается, это его основная задача, он внедряется в процесс cmd.exe и предоставляет виндовой командной строке дополнительную функциональность. Как объяснить доктору, что я это разрешаю?
Проблема возникает не когда я сам запускаю командную строку, а когда стороннее приложение пытается выполнить что-то через cmd.exe, а cmd в процессе подтягивает clink.exe и clink.dll, и вот тут доктор их обоих ловит и удаляет.
Я не знаю, как прописать исключения. В спайдер гард очевидно писать бесполезно, там и так целиком вся папка clink добавлена - не помогает. А в исключениях поведенческого анализа можно прописать только exeшники, я прописал clink.exe, но ведь есть ещё библиотека clink.dll, которую подтягивает cmd.exe. А я не могу прописать весь cmd.exe в исключения, это опасно.
Форма false alarm мой репорт отвергла, "в настоящий момент файл не определяется как угроза". Ну конечно.
