そこで、ベールが取得し続けたので、Pythonを使用して(コース用に)自分でバックドアを作成しようとしました。検出されました。すべてが私のWindows10VMと私の古いWindows7ラップトップでうまくいきました。ただし、.exeファイルをWindows 10マシンにコピーすると、Symantecは「WS.Reputation.1」を使用してそれを検出し、隔離に移動しました。
これがトリガーされる正確な原因を誰かに教えてもらえますか? ? 「レピュテーションスコア」を上げる方法はありますか?または、コードまたはpyinstaller引数を使用してこれをバイパスしますか?
よろしくお願いします!
回答
WS.Reputation.1 はファイルを検出し、ユーザーのノートンコミュニティからのデータを使用して分析を実行します(ノートン製品をインストールした場合は、ノートンコミュニティウォッチプログラムにオプトインするかどうかを要求するチェックボックスです」)、分析は群集データと照合され、スコアが付けられます。したがって、「レピュテーションスコアが低い場合は、セキュリティリスクが発生する可能性があります。その背後にある技術は、ノートンのレピュテーションベースのセキュリティテクノロジです。
抜粋ノートンから:
レピュテーションベースのシステムは「群衆の知恵」を使用しています(ノートンライフロックの数千万人のエンドユーザー)がクラウドベースのインテリジェンスに接続してアプリケーションのレピュテーションスコアを計算し、その過程で、従来の署名や動作ベースの検出技術を超えるまったく新しい方法で悪意のあるソフトウェアを特定します。
テクノロジーがどのように機能し、どのようにトリガーされるかについての詳細な説明。これは、(私がこれまでに知っていることに基づいて)いくつかの要因に依存しています。
1。新しさコミュニティで観察されたファイルの新しさ。
2。デジタル署名署名されたファイルを検索します。カスタムまたは自家製のアプリケーションは、クラス3のデジタル証明書を使用してデジタル署名する必要があります。
3。ヒューリスティックファイルプロシージャは正確に何を呼び出しますか。レジストリに書き込みますか?親子プロセスを開始しますか? Windowsで保護されたフォルダにアクセスしますか?
検出される可能性を減らすために検討したいことがあります。とはいえ、ここではテクノロジーの「バイパス」について詳細に議論する場所ではないと私は信じています。 🙂
テスターまたは開発者として何ができますか。ノートンの保護を減らしたい場合がありますFPを嫌う条件またはテスト環境を許可するレベル設定。また、年齢&「新しい」不明なファイルを許可する普及率設定。
次に、「テストファイルを開発しているときに」、に送信する必要はありません。誤検知としてのAVチーム。さらに、「バックドアをテストしているので、ホワイトリストに追加することはできません。しかし、もちろん、将来のAV検出のためにより良い検出を提供するためにあなたの役割を果たすこともできます。
コメント
- それはたくさんの答えです、たくさんありがとう!