Quindi, ho provato a creare una backdoor da solo usando python (per un corso), poiché il velo continuava ad arrivare rilevato. Tutto è andato bene sulla mia macchina virtuale Windows 10 e sul mio vecchio laptop Windows 7. Tuttavia, quando ho copiato il file .exe sul mio computer Windows 10, Symantec lo ha rilevato utilizzando “WS.Reputation.1” e lo ha spostato in quarantena.
Qualcuno può dirmi esattamente cosa causa lattivazione di questo problema ? Cè un modo per aumentare il suo “punteggio di reputazione”? O forse aggirare questo attraverso il codice o gli argomenti di pyinstaller?
Grazie in anticipo!
Risposta
WS.Reputation.1 rileva i file ed esegue lanalisi con i dati della comunità di utenti Norton (se “hai installato il prodotto Norton, è una casella di controllo che richiede se si desidera aderire al programma di sorveglianza della comunità Norton “), lanalisi viene confrontata con i dati della folla e viene inserito un punteggio. Se il punteggio di reputazione è basso, è probabile che ci siano rischi per la sicurezza. La tecnologia alla base è la tecnologia di sicurezza basata sulla reputazione di Norton.
Estratto da Norton:
Il sistema basato sulla reputazione utilizza “la saggezza delle folle” ( Le decine di milioni di utenti finali di Symantec) si sono collegati allintelligence basata su cloud per calcolare un punteggio di reputazione per unapplicazione e, nel processo, identificare il software dannoso in un modo completamente nuovo oltre alle firme tradizionali e alle tecniche di rilevamento basate sul comportamento.
Per quanto riguarda la spiegazione approfondita di come funziona la tecnologia e di come viene attivata. Si basa su una serie di fattori (basati su ciò che so finora.)
1. Novità Quanto è nuovo il file osservato nella comunità.
2. Firma digitale Cerca file firmati. Lapplicazione personalizzata o prodotta internamente deve essere firmata digitalmente con certificati digitali di classe tre.
3. Euristico Che cosa chiama esattamente la procedura file. Scrive nel registro? Avviare processi genitore-figlio? Accesso alla cartella protetta di Windows?
Qualcosa che vuoi considerare per ridurre la possibilità di essere rilevato. Detto questo, credo che qui non sia un posto per discutere in dettaglio sul “bypassare” qualsiasi tecnologia. 🙂
Cosa puoi fare come tester o sviluppatore. Potresti voler ridurre la protezione Norton impostazioni di livello per consentire condizioni avverse al FP o ambiente di test. E anche Età & Impostazioni di prevalenza per consentire “nuovi” file sconosciuti.
In secondo luogo, mentre “stai sviluppando un file di prova” non è necessario inviarlo al Team AV come falso positivo. Inoltre, stai testando una backdoor, quindi non è possibile aggiungerla a una whitelist. Ma ovviamente potresti fare la tua parte nel fornire forse rilevamenti migliori per i rilevamenti AV futuri.
Commenti
- Questo risponde molto, grazie mille!