Próbowałem więc samodzielnie utworzyć backdoora za pomocą Pythona (na kurs), ponieważ zasłona wciąż się pojawiała wykryto. Wszystko poszło dobrze na moim Windowsie 10 VM i moim starym laptopie z Windows 7. Jednak kiedy skopiowałem plik .exe na swój komputer z systemem Windows 10, firma Symantec wykryła go przy użyciu „WS.Reputation.1” i przeniosła do kwarantanny.
Czy ktoś może mi powiedzieć, co dokładnie powoduje wywołanie tego zdarzenia ? Czy jest jakiś sposób, żebym mógł zwiększyć jego „wynik reputacji”? A może ominąć to za pomocą kodu lub argumentów pyinstallera?
Z góry dziękuję!
Odpowiedź
WS.Reputation.1 wykrywa pliki i przeprowadza analizę danych ze społeczności użytkowników Norton (jeśli zainstalowałeś produkt Norton, tam to pole wyboru z pytaniem, czy chcesz dołączyć do programu Norton Community Watch ”), analizy są porównywane z danymi publiczności i umieszczane są oceny. Jeśli istnieje „niski wynik reputacji, prawdopodobnie wystąpią zagrożenia dla bezpieczeństwa”. Podstawową technologią jest technologia zabezpieczeń firmy Norton oparta na reputacji.
Fragment od Norton:
System oparty na reputacji wykorzystuje „mądrość tłumów” ( Dziesiątki milionów użytkowników końcowych firmy Symantec) połączyło się z inteligencją opartą na chmurze, aby obliczyć ocenę reputacji aplikacji, a tym samym zidentyfikować złośliwe oprogramowanie w zupełnie nowy sposób, wykraczający poza tradycyjne sygnatury i techniki wykrywania oparte na zachowaniu.
Jeśli chodzi o szczegółowe wyjaśnienie, jak ta technologia działa i jak jest wyzwalana. Zależy to od wielu czynników (na podstawie tego, co wiem do tej pory).
1. Nowość Jak nowy plik jest obserwowany w społeczności.
2. Podpis cyfrowy Szuka podpisanych plików. Aplikacja własna lub własna powinna być podpisana cyfrowo przy użyciu cyfrowych certyfikatów klasy trzeciej.
3. Heurystyka Co dokładnie wywołuje procedura pliku. Czy pisze do rejestru? Rozpocząć procesy rodzic-dziecko? Uzyskiwanie dostępu do folderu chronionego systemu Windows?
Coś, co chcesz wziąć pod uwagę, aby zmniejszyć prawdopodobieństwo wykrycia. To powiedziawszy, uważam, że tutaj nie ma miejsca na szczegółowe omawianie „omijania” jakichkolwiek technologii. 🙂
Co możesz zrobić jako tester lub programista. Możesz chcieć zmniejszyć ochronę Norton ustawienia poziomu, aby zezwolić na warunki przeciwne FP lub środowisko testowe. A także wiek & Ustawienia rozpowszechnienia zezwalające na „nowe” nieznane pliki.
Po drugie, gdy „opracowujesz plik testowy”, nie ma potrzeby przesyłania go do Zespół AV jako fałszywie pozytywny. Dodatkowo testujesz backdoora, więc nie ma mowy, żeby dodali go do białej listy. Ale oczywiście możesz przyczynić się do zapewnienia lepszych detekcji dla przyszłych detekcji AV.
Komentarze
- To dużo odpowiedzi, wielkie dzięki!