Så jag försökte skapa en bakdörr på egen hand med python (för en kurs), eftersom slöjan fortsatte att bli upptäcktes. Allt gick bra på min Windows 10 VM och min gamla Windows 7 laptop. Men när jag kopierade .exe-filen till min Windows 10-maskin upptäckte Symantec den med hjälp av ”WS.Reputation.1” och flyttade den till karantän.
Kan någon berätta för mig vad som orsakar att detta blir utlöst ? Finns det något sätt att öka sitt ”rykte”? Eller kanske kringgå detta genom kod- eller pyinstallerargument?
Tack på förhand!
Svar
WS.Reputation.1 upptäcker filer och utför analyser med data från Nortons användare av användare (Om du har installerat Norton-produkten finns det är en kryssruta som begär om du vill välja Norton community watch-program ”), analysen matchas mot publikdata och en poängsättning görs. Om det finns ”ett lågt ryktepoäng så kan det därför finnas säkerhetsrisker. Tekniken bakom det är Nortons ryktebaserade säkerhetsteknik.
Utdrag från Norton:
Det ryktebaserade systemet använder ”visdom från folkmassor” ( Symantecs tiotals miljoner slutanvändare) kopplade till molnbaserad intelligens för att beräkna ett rykte för en applikation och identifierar under tiden skadlig programvara på ett helt nytt sätt utöver traditionella signaturer och beteendebaserade detekteringstekniker.
När det gäller fördjupad förklaring av hur tekniken fungerar och hur den utlöses. Det bygger på ett antal faktorer (baserat på vad jag vet hittills.)
1. Nyhet Hur ny är filen som observeras i gruppen.
2. Digital signatur Det letar efter signerade filer. Anpassad eller hemodlad applikation ska signeras digitalt med klass tre digitala certifikat.
3. Heuristisk Vad exakt kallar filförfarandet. Skriver det till registret? Starta föräldra-barn-processer? Åtkomst till Windows-skyddad mapp?
Något du vill tänka på för att minska risken för att detekteras. Med det sagt tror jag här inte är en plats att diskutera i detalj om ”kringgå” någon teknik. 🙂
Vad kan du göra som testare eller utvecklare. Du kanske vill minska Norton-skyddet nivåinställningar för att tillåta FP-avvikande förhållanden eller testmiljö. Och även ålder & Inställningar för prevalens för att tillåta ”nya” okända filer.
För det andra när du ”utvecklar en testfil behöver du inte skicka till AV-team som falskt positivt. Plus att du testar en bakdörr så att de inte lägger till det i en vitlista. Men naturligtvis kan du göra din del i att kanske tillhandahålla bättre upptäckter för framtida AV-upptäckter.
Kommentarer
- Det svarar mycket, tack massor!