Omgå WS.Reputation.1 (Norton)

Så jeg forsøgte at skabe en bagdør på egen hånd ved hjælp af python (for et kursus), da slør hele tiden blev opdaget. Alt gik godt på min Windows 10 VM og min gamle Windows 7 bærbare computer. Da jeg imidlertid kopierede .exe-filen til min Windows 10-maskine, opdagede Symantec den ved hjælp af “WS.Reputation.1” og flyttede den til karantæne.

Kan nogen fortælle mig, hvad der præcist får dette til at blive udløst ? Er der nogen måde, hvorpå jeg kan øge dens “omdømme score”? Eller måske omgå dette gennem kode- eller pyinstaller-argumenter?

Tak på forhånd!

Svar

WS.Reputation.1 registrerer filer og udfører analyse videre med data fra Norton-gruppen af brugere (Hvis du har installeret Norton-produkt, er der er et afkrydsningsfelt, der anmoder om, hvis du gerne vil tilmelde dig Norton community watch-programmet “), analysen matches med mængdedataene, og en scoring placeres. Hvis der “er en lav omdømme-score, vil der derfor sandsynligvis være sikkerhedsrisici. Teknologien bag det er Nortons omdømme-baserede sikkerhedsteknologi.

Uddrag fra Norton:

Det ry-baserede system bruger “visdom fra skarer” ( Symantecs snesevis af millioner slutbrugere) tilsluttet skybaseret intelligens for at beregne et omdømmescore for en applikation og i processen identificere ondsindet software på en helt ny måde ud over traditionelle signaturer og adfærdsbaserede detektionsteknikker. / p>

Hvad angår en grundig forklaring af, hvordan teknologien fungerer, og hvordan den bliver udløst. Det er afhængig af en række faktorer (baseret på hvad jeg hidtil kender.)

1. Nyhed Hvor ny er den fil, der observeres i gruppen.

2. Digital signatur Det ser efter signerede filer. Brugerdefineret eller hjemmelavet applikation skal underskrives digitalt med klasse tre digitale certifikater.

3. Heuristisk Hvad kalder filproceduren nøjagtigt. Skriver det til registreringsdatabasen? Start forældre-barn-processer? Adgang til Windows-beskyttet mappe?

Noget, du vil overveje for at reducere chancen for at blive opdaget. Når det er sagt, tror jeg herovre ikke er et sted at diskutere detaljeret om “omgåelse” af teknologier. 🙂

Hvad kan du gøre som tester eller udvikler. Du vil muligvis reducere Norton-beskyttelsen niveauindstillinger for at tillade FP-averse forhold eller testmiljø. Og også Age & Prævalensindstillinger for at tillade “nye” ukendte filer.

For det andet, da du “er ved at udvikle en testfil, er der ikke noget behov for at sende til AV-team som en falsk positiv. Plus, du tester en bagdør, så de ikke tilføjer det til en hvidliste. Men selvfølgelig kan du gøre din del i måske at give bedre detektioner til fremtidige AV-detektioner.

Kommentarer

  • Det svarer meget, tak et ton!

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *