Entonces, traté de crear una puerta trasera por mi cuenta usando Python (para un curso), ya que el velo seguía apareciendo detectado. Todo salió bien en mi VM con Windows 10 y en mi vieja computadora portátil con Windows 7. Sin embargo, cuando copié el archivo .exe en mi máquina con Windows 10, Symantec lo detectó usando «WS.Reputation.1» y lo movió a cuarentena.
¿Alguien puede decirme qué causa exactamente que esto se active? ? ¿Hay alguna forma de que pueda aumentar su «puntuación de reputación»? ¿O tal vez evitar esto a través del código o los argumentos de pyinstaller?
¡Gracias de antemano!
Responder
WS.Reputation.1 detecta archivos y realiza análisis con datos de la comunidad de usuarios de Norton (si ha instalado un producto Norton, no es una casilla de verificación que solicita si desea participar en el programa de vigilancia de la comunidad de Norton «), el análisis se compara con los datos de la multitud y se coloca una puntuación. Si hay una puntuación de reputación baja, es probable que existan riesgos de seguridad. La tecnología detrás de esto es la tecnología de seguridad basada en la reputación de Norton.
Extracto de Norton:
El sistema basado en la reputación utiliza «la sabiduría de las multitudes» ( Las decenas de millones de usuarios finales de Symantec) se conectaron a la inteligencia basada en la nube para calcular un puntaje de reputación para una aplicación y, en el proceso, identificar el software malicioso de una manera completamente nueva más allá de las firmas tradicionales y las técnicas de detección basadas en el comportamiento.
En cuanto a la explicación detallada de cómo funciona la tecnología y cómo se activa. Se basa en varios factores (según lo que sé hasta ahora).
1. Novedad Qué tan nuevo es el archivo observado en la comunidad.
2. Firma digital Busca archivos firmados. Las aplicaciones personalizadas o creadas en casa deben estar firmadas digitalmente con certificados digitales de clase tres.
3. Heurística ¿Qué hace exactamente el procedimiento de archivo? ¿Escribe en el registro? ¿Iniciar procesos padre-hijo? ¿Accediendo a la carpeta protegida de Windows?
Algo que debe considerar para reducir la posibilidad de ser detectado. Dicho esto, creo que aquí no es un lugar para discutir en detalle sobre «eludir» cualquier tecnología. 🙂
¿Qué puede hacer como evaluador o desarrollador? Es posible que desee reducir la protección de Norton ajustes de nivel para permitir condiciones adversas a FP o entorno de prueba. Y también la configuración de Prevalencia & de Edad para permitir «nuevos» archivos desconocidos.
En segundo lugar, a medida que desarrolla un archivo de prueba, no es necesario enviarlo al Equipo AV como falso positivo. Además, está probando una puerta trasera, por lo que no hay forma de que la agreguen a una lista blanca. Pero, por supuesto, puede hacer su parte para proporcionar mejores detecciones para futuras detecciones de AV.
Comentarios
- Eso responde mucho, ¡muchas gracias!