Então, eu tentei criar um backdoor sozinho usando python (para um curso), pois o véu continuava recebendo detectou. Tudo correu bem no meu Windows 10 VM e meu antigo laptop windows 7. No entanto, quando copiei o arquivo .exe para minha máquina com Windows 10, a Symantec o detectou usando “WS.Reputation.1” e o moveu para a quarentena.
Alguém pode me dizer o que exatamente faz com que isso seja acionado ? Existe alguma maneira de aumentar sua “pontuação de reputação”? Ou talvez ignorar isso por meio de argumentos de código ou pyinstaller?
Agradecemos antecipadamente!
Resposta
WS.Reputation.1 detecta arquivos e realiza análises com dados da comunidade de usuários Norton (se você instalou o produto Norton, lá é uma caixa de seleção solicitando se você deseja optar pelo programa de observação da comunidade Norton “), as análises são comparadas aos dados da multidão e uma pontuação é colocada. Se houver uma pontuação de reputação baixa, então provavelmente haverá riscos de segurança. A tecnologia por trás disso é a tecnologia de segurança baseada em reputação da Norton.
Trecho de Norton:
O sistema baseado em reputação usa “a sabedoria das multidões” ( Dezenas de milhões de usuários finais da Symantec) conectados à inteligência baseada em nuvem para calcular uma pontuação de reputação para um aplicativo e, no processo, identificar software malicioso de uma maneira totalmente nova, além das assinaturas tradicionais e técnicas de detecção baseadas em comportamento.
Quanto a uma explicação detalhada de como a tecnologia funciona e como ela é acionada. Ele depende de vários fatores (com base no que sei até agora).
1. Novidade Quão novo é o arquivo observado na comunidade.
2. Assinatura digital Procura arquivos assinados. Aplicativos personalizados ou desenvolvidos internamente devem ser assinados digitalmente com certificados digitais de classe três.
3. Heurística O que exatamente o procedimento de arquivo chama. Ele grava no registro? Iniciar processos pai-filho? Acessando a pasta protegida do Windows?
Algo que você deseja considerar para reduzir a chance de ser detectado. Dito isso, acredito que aqui não é um lugar para discutir em detalhes sobre como “contornar” quaisquer tecnologias. 🙂
O que você pode fazer como testador ou desenvolvedor. Você pode querer reduzir a proteção do Norton configurações de nível para permitir condições adversas ao FP ou ambiente de teste. E também Idade & Configurações de prevalência para permitir “novos” arquivos desconhecidos.
Em segundo lugar, como você está desenvolvendo um arquivo de teste, não há necessidade de enviar para o Equipe AV como um falso positivo. Além disso, você está testando um backdoor, então de forma alguma eles estão adicionando isso a uma lista de permissões. Mas é claro que você pode fazer a sua parte, talvez fornecendo melhores detecções para futuras detecções AV.
Comentários
- Isso responde muito, muito obrigado!