Megkerülve a WS.Reputation.1 (Norton)

Tehát megpróbáltam saját magammal létrehozni egy hátsó ajtót a python használatával (tanfolyamra), mivel a fátyol folyamatosan észlelték. Minden jól ment a Windows 10 VM és a régi Windows 7 laptopomon. Amikor azonban az .exe fájlt átmásoltam a Windows 10 gépemre, a Symantec a “WS.Reputation.1” használatával észlelte és karanténba helyezte.

Meg tudná mondani valaki, hogy ez pontosan mi váltja ki ? Van-e valamilyen módja annak, hogy növeljem a “hírnevét”? Vagy esetleg megkerüli ezt a kód vagy a pyinstaller argumentumain keresztül?

Előre is köszönöm!

Válasz

WS.Reputation.1 fájlokat észlel és elemzést végez a Norton felhasználói közösség adataival (Ha telepítette a Norton terméket, ott egy jelölőnégyzet, amely azt kéri, hogy jelentkezzen be a Norton közösségi figyelő programba “). Ha alacsony reputációs pontszám van, akkor valószínűleg biztonsági kockázatokkal jár. A technika mögött a Norton hírnevén alapuló biztonsági technológia áll.

Kivonat Nortontól:

A hírnéven alapuló rendszer a “tömegek bölcsességét” használja ( A Symantec több tízmillió végfelhasználója) felhőalapú intelligenciához kapcsolódott, hogy kiszámolja az alkalmazás hírnevét, és közben a hagyományos aláírásokon és viselkedésalapú észlelési technikákon túl egy teljesen új módon azonosítsa a rosszindulatú szoftvereket.

A technológia működésének és működésének részletes elmagyarázása. Számos tényezőre támaszkodik (annak alapján, amit eddig tudtam.)

1. Újdonság Mennyire új a fájl megfigyelése a közösségben.

2. Digitális aláírás Aláírt fájlokat keres. Az egyéni vagy otthoni alkalmazásokat digitálisan alá kell írni a harmadik osztályú digitális tanúsítványokkal.

3. Heurisztikus Mit hív pontosan a fájl eljárás. Ír a nyilvántartásba? Elindítja a szülő-gyermek folyamatokat? Hozzáfér a Windows védett mappájához?

Valami, amit fontolóra kell venni az észlelés esélyének csökkentése érdekében. Azt mondtam, hogy úgy gondolom, hogy itt nincs hely, ahol részletesen megvitathatnánk a technológiák “megkerülését”. 🙂

Mit tehet tesztelőként vagy fejlesztőként? Érdemes csökkenteni a Norton védelmét szintbeállítások az FP-től idegenkedő körülmények vagy tesztkörnyezet lehetővé tételéhez. És az Age & elterjedési beállítások is lehetővé teszik az “új” ismeretlen fájlok használatát.

Másodszor, amikor tesztfájlt fejlesztesz, nem kell beküldeni a AV csapat, mint hamis pozitív. Ráadásul tesztel egy hátsó ajtót, így semmiképpen sem adják hozzá az engedélyezőlistához. De természetesen megteheti a maga részét, hogy esetleg jobb detektálásokat biztosítson a jövőbeni AV-észlelésekhez.

Megjegyzések

  • Ez nagyon sokat válaszol, köszönöm szépen!

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük