давай двину свою ситуацию.
Вообще природа вакатака h!ml, насколько мне стало понятно, заключается в обычном false positive. Я тоже переписывал куски кода, менял вм образы и менял системы для тестов (без откатов). Стал углубляться. Перечесал всю бд статичных сигнатур дефендера. Много читал по облачному сканированию. Потом всё это совмещал в кучу. Думал. Лично мой вывод такой (по пальчикам):
1) Когда ты нажимаешь правой кнопочкой по файлу и нажимаешь "проверить defender" - ты отправляешь кусок сигнатур в облако.
2) В облаке, принимается решение, что проверить не удаётся, хеша нет, кусок сигнатур новый, возможно опасно.
3) Вешает false positive.
4) Начинает дрючить голову.
Что делать? Чистим стаб (код, скрипт и тд) от детекта. Не шлём его в облако! И не проверяем через облако! И не дрочим во всяких паблик чекерах!
И умных друзей, которые "всегда так делали" бьем по рукам за это дело.
Проверяем, просто на машине с включенным облаком и обновленными базами через запуск. И это не машина на который ты стаб скомпилировал! Я проверяю на 5 машинах. На все тачки заношу семпл через интернет.
Но нужно понимать, что любая проверка мамонтом через облако или чекер, рано или поздно загадит стаб. Как загадит, всё по новой, чистка - в работу.
Это моё сложившееся мнение по вакатаку, может кто-то дополнит.
