Așadar, am încercat să creez un backdoor pe cont propriu folosind python (pentru un curs), deoarece vălul a continuat să devină detectat. Totul a mers bine pe Windows 10 VM și pe vechiul meu laptop Windows 7. Cu toate acestea, când am copiat fișierul .exe pe computerul meu Windows 10, Symantec l-a detectat folosind „WS.Reputation.1” și l-a mutat în carantină.
Poate cineva să-mi spună ce anume determină declanșarea acestui lucru? ? Există vreo modalitate prin care îi pot crește „scorul de reputație”? Sau poate ocoliți acest lucru prin intermediul argumentelor de cod sau pyinstaller?
Vă mulțumim anticipat!
Răspuns
WS.Reputation.1 detectează fișiere și efectuează analize cu date de la comunitatea de utilizatori Norton (Dacă ați instalat produsul Norton, acolo este o casetă de selectare care solicită dacă doriți să vă înscrieți la programul de vizionare comunitară Norton „), analiza este potrivită cu datele mulțimii și se plasează un scor. Dacă există „un scor de reputație scăzut, atunci este probabil să existe riscuri de securitate. Tehnologia din spatele acestuia este tehnologia de securitate bazată pe reputația Norton.
Extras din Norton:
Sistemul bazat pe reputație folosește „înțelepciunea mulțimilor” ( Zecile de milioane de utilizatori finali ai Symantec) s-au conectat la informații bazate pe cloud pentru a calcula un scor de reputație pentru o aplicație și, în acest proces, identifică software-ul rău intenționat într-un mod complet nou dincolo de semnăturile tradiționale și tehnicile de detectare bazate pe comportament.
În ceea ce privește explicația aprofundată a modului în care funcționează tehnologia și a modului în care este declanșată. Se bazează pe o serie de factori (pe baza a ceea ce știu până acum.)
1. Noutate Cât de nou este fișierul observat în comunitate.
2. Semnătură digitală Se caută fișiere semnate. Aplicația personalizată sau cultivată acasă ar trebui să fie semnată digital cu certificate digitale de clasa a treia.
3. Heuristic Ce anume apelează procedura fișierului. Scrie în registru? Începeți procesele părinte-copil? Accesați folderul protejat de Windows?
Ceva pe care doriți să-l luați în considerare pentru a reduce șansele de a fi detectat. Acestea fiind spuse, cred că aici nu este un loc pentru a discuta în detaliu despre „ocolirea” oricăror tehnologii. 🙂
Ce puteți face ca tester sau dezvoltator. S-ar putea să doriți să reduceți protecția Norton setări de nivel pentru a permite condiții averse FP sau mediu de testare. Și, de asemenea, Age & Setările de prevalență pentru a permite „noi” fișiere necunoscute.
În al doilea rând, în timp ce „dezvoltați un fișier de testare”, nu este nevoie să vă trimiteți la Echipa AV ca fals pozitiv. În plus, testați un backdoor, așa că în niciun caz nu adaugă asta la o listă albă. Dar, bineînțeles, vă puteți ajuta să oferiți detecții mai bune pentru viitoarele detectări AV.
Comentarii
- Asta răspunde mult, mulțumesc mult!