Umgehen von WS.Reputation.1 (Norton)

Also habe ich versucht, mithilfe von Python (für einen Kurs) selbst eine Hintertür zu erstellen, da der Schleier immer größer wurde erkannt. Auf meiner Windows 10-VM und meinem alten Windows 7-Laptop lief alles gut. Als ich die EXE-Datei auf meinen Windows 10-Computer kopierte, erkannte Symantec sie jedoch mit „WS.Reputation.1“ und verschob sie in die Quarantäne.

Kann mir jemand sagen, was genau dazu führt, dass dies ausgelöst wird ? Gibt es eine Möglichkeit, den „Reputationswert“ zu erhöhen? Oder umgehen Sie dies möglicherweise durch Code- oder Pyinstaller-Argumente?

Vielen Dank im Voraus!

Antwort

WS.Reputation.1 erkennt Dateien und führt eine Analyse mit Daten aus der Norton-Benutzergemeinschaft durch (Wenn Sie das Norton-Produkt dort installiert haben) ist ein Kontrollkästchen, in dem Sie gefragt werden, ob Sie sich für das Norton Community Watch-Programm anmelden möchten. „) Die Analyse wird mit den Crowd-Daten abgeglichen und eine Bewertung abgegeben. Wenn es einen niedrigen Reputationswert gibt, besteht daher wahrscheinlich ein Sicherheitsrisiko. Die Technologie dahinter ist die auf Reputation basierende Sicherheitstechnologie von Norton.

Auszug von Norton:

Das auf Reputation basierende System verwendet „die Weisheit der Massen“ ( Symantecs zig Millionen Endbenutzer) haben sich mit Cloud-basierter Intelligenz verbunden, um einen Reputationswert für eine Anwendung zu berechnen und dabei schädliche Software auf völlig neue Weise zu identifizieren, die über herkömmliche Signaturen und verhaltensbasierte Erkennungstechniken hinausgeht.

Ausführliche Erläuterungen zur Funktionsweise der Technologie und zu ihrer Auslösung. Es hängt von einer Reihe von Faktoren ab (basierend auf dem, was ich bisher weiß).

1. Neuheit Wie neu ist die in der Community beobachtete Datei?

2. Digitale Signatur Es wird nach signierten Dateien gesucht. Benutzerdefinierte oder selbst erstellte Anwendungen sollten mit digitalen Zertifikaten der Klasse 3 digital signiert werden.

3. Heuristik Was genau ruft die Dateiprozedur auf. Schreibt es in die Registrierung? Eltern-Kind-Prozesse starten? Zugriff auf Windows-geschützte Ordner?

Etwas, das Sie berücksichtigen möchten, um die Wahrscheinlichkeit zu verringern, erkannt zu werden. Trotzdem glaube ich, dass hier kein Ort ist, an dem ausführlich über das „Umgehen“ von Technologien diskutiert werden kann. 🙂

Was können Sie als Tester oder Entwickler tun? Möglicherweise möchten Sie den Norton-Schutz reduzieren Pegeleinstellungen, um FP-abgeneigte Bedingungen oder Testumgebungen zu ermöglichen. Und auch Alter & Prävalenzeinstellungen, um „neue“ unbekannte Dateien zuzulassen.

Zweitens müssen Sie beim Entwickeln einer Testdatei keine Daten an die senden AV-Team als falsch positiv. Außerdem testen Sie eine Hintertür, damit sie diese nicht zu einer Whitelist hinzufügt. Aber natürlich können Sie Ihren Beitrag dazu leisten, möglicherweise bessere Erkennungen für zukünftige AV-Erkennungen bereitzustellen.

Kommentare

  • Das antwortet sehr, vielen Dank!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.