Ohittaa WS.Reputation.1 (Norton)

Joten yritin luoda itsellesi takaoven pythonilla (kurssille), sillä verho jatkoi havaittu. Kaikki meni hyvin Windows 10 VM: ssä ja vanhassa Windows 7 -tietokoneessa. Kun kopioin .exe-tiedoston Windows 10 -laitteelleni, Symantec havaitsi sen käyttämällä ”WS.Reputation.1” -ohjelmaa ja siirsi sen karanteeniin.

Voisiko joku kertoa minulle, mikä tämän aiheuttaa. ? Voinko mitenkään lisätä sen ”mainepistettä”? Tai ehkä ohittaa tämän koodin tai pyinstaller-argumenttien avulla?

Kiitos jo etukäteen!

Vastaa

WS.Reputation.1 tunnistaa tiedostot ja suorittaa analyysin Norton-käyttäjäyhteisön tiedoilla (Jos olet asentanut Norton-tuotteen, siellä on valintaruutu, joka pyytää, jos haluat liittyä Norton-yhteisön katseluohjelmaan ”), analyysi verrataan väkijoukkotietoihin ja pisteytetään. Jos maine on matala, pisteet ovat todennäköisesti turvallisuusriskejä. Sen taustalla oleva tekniikka on Nortonin mainepohjainen tietoturvatekniikka.

Ote Nortonilta:

Mainepohjainen järjestelmä käyttää ”väkijoukkojen viisautta” ( Symantecin kymmenet miljoonat loppukäyttäjät) yhdistivät pilvipohjaiseen älykkyyteen laskeakseen sovelluksen mainepisteet ja tunnistavat prosessissa haittaohjelmat aivan uudella tavalla perinteisten allekirjoitusten ja käyttäytymisperusteisten havaintotekniikoiden lisäksi.

Mitä tulee perusteelliseen selitykseen tekniikan toiminnasta ja miten se käynnistyy. Se perustuu useisiin tekijöihin (sen perusteella, mitä tiedän tähän mennessä.)

1. Uusuus Kuinka uusi tiedosto on havaittu yhteisössä.

2. Digitaalinen allekirjoitus Se etsii allekirjoitettuja tiedostoja. Mukautettu tai kotona kasvatettu sovellus tulee allekirjoittaa digitaalisesti luokan 3 digitaalisilla varmenteilla.

3. Heuristinen Mitä tarkalleen tiedosto-menettely kutsuu. Kirjoittaako se rekisteriin? Aloitetaanko vanhempien ja lasten prosessit? Käytätkö Windows-suojattua kansiota?

Jotain, jota haluat harkita havaitsemisen vähentämiseksi. Uskon, ettei täällä ole paikka keskustella yksityiskohtaisesti minkään tekniikan ”ohittamisesta”. 🙂

Mitä voit tehdä testaajana tai kehittäjänä. Haluat ehkä vähentää Norton-suojausta tason asetukset, jotta FP-vastaiset olosuhteet tai testiympäristö voidaan sallia. Ja myös Age & Levinneasetukset sallivat ”uudet” tuntemattomat tiedostot.

Toiseksi, kun kehität testitiedostoa, sinun ei tarvitse lähettää AV-joukkue vääränä positiivisena. Lisäksi testaat takaovea, joten he eivät millään tavalla lisää sitä sallittujen luetteloon. Mutta tietysti voit tehdä oman osasi ehkä parempien havaintojen tarjoamiseksi tulevia AV-havaintoja varten.

Kommentit

  • Se vastaa paljon, kiitos paljon!

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *