Dass beim packen kleine Änderungen massive Auswirkungen haben können, ist mir durchaus klar. Frage ist eher, warum der String einmal im Klartext in der Datei zu lesen ist, und sich dann aber auch anderer Teil weiter verändert. Da gibt es also anscheinend eine Doppelung - oder irgendwelche anderen Wechselwirkungen. Ob da wirklich was komprimiert wird, weiß ich ja nicht einmal. Desweiteren ist die Frage, warum die Malware-Heuristik auf den gepackten(?) Daten läuft (und nicht auf den entpackten), und dann String-Konstanten so einen Einfluss haben können.

In gewisser Weise muss ich mich da auf jeden Fall rechtfertigen . Denn der Alarm trat ja erst mit dem jüngsten Signatur-Update des Defenders auf. Letzte Woche hatte ich beim Erstellen des Setups keine Probleme, jetzt meckert er bei mir und den Usern, die das Update durchführen wollen.

Eine nicht verwendete GUID in das Setup-Script zu schreiben bringt übrigens nichts. Wenn die Konstante weiter nicht verwendet wird, wird sie von InnoSetup nicht mit einkompiliert - beide Versionen sind dann binärgleich.

Eine Dummy-Datei zum Brechen der Heuristik mit auszuliefern hat allerdings auch im ersten Versuch geklappt. Vielleicht mach ich das, wenn das wieder einmal auftritt . Da schreib ich dann irgendeinen Blödsinn rein, und verkauf das als "Easteregg" .

Das funktioniert ggf. bei der Auslieferung. Aber wenn die Virenscanner ein blödes Update bekommen, habe ich das Problem wieder. Ich erwarte dabei nicht, dass das regelmäßig auftritt. Mir geht es mehr um das Verständnis der Ursachen in diesem Fall.

Öhm, wenn ein Upload-Formular für die Analyse von Malware mit der Option "Fälschlicherweise als Malware erkannt, bitte prüfen" keine Dateien zulässt, die fälschlicherweise als Malware erkannt werden, dann ist das Konzept etwas kaputt.

Gut, dann hatte ich bisher eine etwas andere Vorstellung von der "Intelligenz" solcher Heuristiken. Muss ich dann nochmal etwas nach unten korrigieren.