分析详细信息部分显示 NSX Advanced Threat Prevention 服务收集的分析主体的实际活动。活动用于确定对其类型进行的评估。
以下活动显示在该分析详细信息部分中。
| 活动类型 | 描述 |
|---|---|
| 网络活动 | 列出在分析期间访问的所有 URL,以及主体请求或包含的其他 Web 内容。每个额外的 URL 是与其内容类型、服务器状态代码、服务器 IP 地址、响应内容哈希值(MD5 和 SHA1)、响应内容长度和请求计时(开始时间、结束时间和持续时间,以毫秒为单位)一起记录的。 |
| 资源 | 列出在 URL 分析期间通过 res 协议访问的本地资源。恶意网页有时访问本地资源以探测执行环境;例如,确定是否安装了某些程序。 只有在分析期间遇到资源事件时,才会显示该部分。 |
| 代码执行活动 | 列出在分析期间执行的代码。特别是,它显示在资源中静态包含的感兴趣的代码(使用
|
| 隐藏的 iframe | 列出在导航期间检测到的隐藏 HTML 标记,例如 只有在分析期间遇到隐藏的标记时,才会显示该部分。 |
| 内存内容 | 列出在分析期间找到的字符串。 只有在分析期间遇到字符串时,才会显示该部分。 |
| 文本内容 | 显示从文档中提取的文本内容。 只有在分析期间找到文本时,才会显示该部分;仅限 PDF 分析。 |
| 文档中的链接 | 显示在已分析文档中找到的链接。 只有在分析期间遇到链接时,才会显示该部分。 |
| 插件 | 列出使用常见浏览器插件的任何情况。将记录对这些插件进行的调用,并且报告包含有关调用的方法和传递的参数的详细信息。 |
| 小程序 | 显示在 URL 分析期间下载的 Java 小程序。 只有在分析期间找到小程序时,才会显示该部分。 |
| 漏洞利用 | 分析环境具有检测分析主体中包含的 Shell 代码的功能。将提取检测到的 Shell 代码,并将其以十六进制格式包含在报告中。 |
| Shell 代码 | 分析环境具有检测分析主体中包含的 Shell 代码的功能。将提取检测到的 Shell 代码,并将其以十六进制格式包含在报告中。 |
| 进程 | 列出在 URL 分析期间生成的进程。 只有在分析期间找到生成的进程时,才会显示该部分。 |
| 删除的文件 | 列出 URL 分析期间在系统硬盘上存储的文件。 只有在分析期间遇到文件操作时,才会显示该部分。 |
