Så jeg prøvde å lage en bakdør alene ved hjelp av python (for et kurs), ettersom sløret stadig ble oppdaget. Alt gikk bra på Windows 10 VM og min gamle Windows 7 bærbare datamaskin. Når jeg imidlertid kopierte .exe-filen til Windows 10-maskinen min, oppdaget Symantec den ved hjelp av «WS.Reputation.1» og flyttet den til karantene.
Kan noen fortelle meg hva som gjør at dette blir utløst? ? Er det noen måte at jeg kan øke «omdømmescore»? Eller kanskje omgå dette gjennom kode- eller pyinstaller-argumenter?
Takk på forhånd!
Svar
WS.Reputation.1 oppdager filer og utfører analyse videre med data fra Norton-fellesskapet av brukere (Hvis du har installert Norton-produkt, er det er en avkrysningsrute som ber om du vil melde deg på Norton community watch-program «), analysen samsvarer med mengdedataene og en poengsum blir plassert. Hvis det «har et lavt ryktepoeng, vil det derfor sannsynligvis være sikkerhetsrisiko. Teknologien bak det er Nortons ryktebaserte sikkerhetsteknologi.
Utdrag fra Norton:
Det omdømme-baserte systemet bruker «visdom fra folkemengder» ( Symantecs titalls millioner sluttbrukere) koblet til skybasert intelligens for å beregne et omdømmescore for en applikasjon, og i prosessen identifisere skadelig programvare på en helt ny måte utover tradisjonelle signaturer og atferdsbaserte gjenkjenningsteknikker.
Når det gjelder en grundig forklaring av hvordan teknologien fungerer og hvordan den blir utløst. Den er avhengig av en rekke faktorer (basert på det jeg vet så langt.)
1. Nyhet Hvor ny er filen observert i samfunnet.
2. Digital signatur Det ser etter signerte filer. Tilpasset eller hjemmelaget søknad skal signeres digitalt med digitale sertifikater i klasse tre.
3. Heuristisk Hva nøyaktig kalles filprosedyren. Skriver det til registeret? Start foreldre-barn-prosesser? Få tilgang til Windows-beskyttet mappe?
Noe du vil vurdere for å redusere sjansen for å bli oppdaget. Når det er sagt, tror jeg her ikke er et sted å diskutere i detalj om å «omgå» teknologier. 🙂
Hva kan du gjøre som tester eller utvikler. Det kan være lurt å redusere Norton-beskyttelsen nivåinnstillinger for å tillate FP-averse forhold eller testmiljø. Og også Age & Prevalensinnstillinger for å tillate «nye» ukjente filer.
For det andre når du «utvikler en testfil, er det ikke nødvendig å sende til AV-team som et falskt positivt. I tillegg tester du en bakdør, så de legger ikke til en hvitliste på noen måte. Men selvfølgelig kan du gjøre din del i å gi bedre oppdagelser for fremtidige AV-registreringer.
Kommentarer
- Det svarer mye, tusen takk!