问绕过WS.Reputation.1 (诺顿)

EN

WS.Reput.1检测文件并使用来自Norton用户社区的数据进行分析(如果您安装了Norton产品，有一个复选框要求您是否选择使用Norton社区监视程序‘)，分析将与人群数据匹配并进行评分。如果声誉评分较低，那么很可能存在安全风险。背后的技术是诺顿基于声誉的安全技术。

摘录自诺顿：

这个基于信誉的系统使用“人群的智慧”(赛门铁克的数千万终端用户)连接到基于云的智能来计算应用程序的声誉评分，并在此过程中以一种全新的方式识别恶意软件，而不是传统的签名和基于行为的检测技术。

对于这项技术的工作原理和触发方式进行了深入的解释。它依赖于许多因素(基于我目前所知)。

1.在社区中观察到的文件有多新。

2.查找签名文件的数字签名。自定义或国产应用程序应使用三级数字证书进行数字签名。

3.启发文件过程到底调用了什么。它写到注册表了吗？启动父-子进程？访问受windows保护的文件夹？

为了减少被发现的机会，你想要考虑的事情。尽管如此，我相信这里不是一个详细讨论“绕过”任何技术的地方。:)

作为测试人员或开发人员，您能做什么？您可能希望减少Norton保护级别设置，以允许FP厌恶的条件或测试环境。还有年龄和流行率设置，以允许“新”未知文件。

其次，在开发测试文件时，不需要向AV团队提交假阳性。另外，你正在测试一个后门，所以他们不可能把它添加到白名单中。当然，你可以为将来的AV检测提供更好的检测。