Tehát megpróbáltam saját magammal létrehozni egy hátsó ajtót a python használatával (tanfolyamra), mivel a fátyol folyamatosan észlelték. Minden jól ment a Windows 10 VM és a régi Windows 7 laptopomon. Amikor azonban az .exe fájlt átmásoltam a Windows 10 gépemre, a Symantec a “WS.Reputation.1” használatával észlelte és karanténba helyezte.
Meg tudná mondani valaki, hogy ez pontosan mi váltja ki ? Van-e valamilyen módja annak, hogy növeljem a “hírnevét”? Vagy esetleg megkerüli ezt a kód vagy a pyinstaller argumentumain keresztül?
Előre is köszönöm!
Válasz
WS.Reputation.1 fájlokat észlel és elemzést végez a Norton felhasználói közösség adataival (Ha telepítette a Norton terméket, ott egy jelölőnégyzet, amely azt kéri, hogy jelentkezzen be a Norton közösségi figyelő programba “). Ha alacsony reputációs pontszám van, akkor valószínűleg biztonsági kockázatokkal jár. A technika mögött a Norton hírnevén alapuló biztonsági technológia áll.
Kivonat Nortontól:
A hírnéven alapuló rendszer a “tömegek bölcsességét” használja ( A Symantec több tízmillió végfelhasználója) felhőalapú intelligenciához kapcsolódott, hogy kiszámolja az alkalmazás hírnevét, és közben a hagyományos aláírásokon és viselkedésalapú észlelési technikákon túl egy teljesen új módon azonosítsa a rosszindulatú szoftvereket.
A technológia működésének és működésének részletes elmagyarázása. Számos tényezőre támaszkodik (annak alapján, amit eddig tudtam.)
1. Újdonság Mennyire új a fájl megfigyelése a közösségben.
2. Digitális aláírás Aláírt fájlokat keres. Az egyéni vagy otthoni alkalmazásokat digitálisan alá kell írni a harmadik osztályú digitális tanúsítványokkal.
3. Heurisztikus Mit hív pontosan a fájl eljárás. Ír a nyilvántartásba? Elindítja a szülő-gyermek folyamatokat? Hozzáfér a Windows védett mappájához?
Valami, amit fontolóra kell venni az észlelés esélyének csökkentése érdekében. Azt mondtam, hogy úgy gondolom, hogy itt nincs hely, ahol részletesen megvitathatnánk a technológiák “megkerülését”. 🙂
Mit tehet tesztelőként vagy fejlesztőként? Érdemes csökkenteni a Norton védelmét szintbeállítások az FP-től idegenkedő körülmények vagy tesztkörnyezet lehetővé tételéhez. És az Age & elterjedési beállítások is lehetővé teszik az “új” ismeretlen fájlok használatát.
Másodszor, amikor tesztfájlt fejlesztesz, nem kell beküldeni a AV csapat, mint hamis pozitív. Ráadásul tesztel egy hátsó ajtót, így semmiképpen sem adják hozzá az engedélyezőlistához. De természetesen megteheti a maga részét, hogy esetleg jobb detektálásokat biztosítson a jövőbeni AV-észlelésekhez.
Megjegyzések
- Ez nagyon sokat válaszol, köszönöm szépen!