分析报告包含提交到云的文件的详细结果。概览选项卡显示文件分析的汇总摘要详情。报告选项卡显示有关对文件执行的分析的关键信息。

“概览”选项卡

概览信息分为以下几个部分。

分析概览
此部分提供文件分析结果的摘要。显示以下数据:
  • MD5 哈希
  • SHA1 哈希
  • SHA256 哈希
  • MIME 类型
  • 提交时间戳
威胁级别
此部分首先显示分析结果摘要。

例如:发现文件 md5_hash 为恶意文件。

摘要后面显示以下数据:

风险评估
  • 恶意评分:评分为 100。
  • 风险估算:工件风险估计值。
    • 高:工件存在严重风险,必须优先处理。此类主体通常是包含漏洞的特洛伊木马文件或文档,从而导致感染的系统遭到严重破坏。风险包括信息泄露和系统运行异常等多个方面。这些风险的一部分是从检测到的活动类型推断的。通常此类别的评分阈值 ≥ 70。
    • 中:工件存在长期风险,必须密切监控。此类对象可以是包含可疑内容的网页,可能招致网页木马攻击。它们也可以是广告软件或虚假防病毒产品,这些对象不会造成直接严重威胁,但可能导致系统运行出现问题。此类别的评分阈值通常在 30 到 69 之间。
    • 低:工件安全,可以忽略。此风险估算的评分阈值通常低于 30。
  • 防病毒类:工件所属的防病毒或恶意软件类。例如,特洛伊木马、蠕虫、广告软件、勒索软件、间谍软件等。
  • 防病毒系列:工件所属的防病毒或恶意软件系列。例如,valyria、darkside 等。
分析概览
数据按严重性排序,包含以下字段:
  • 严重性:在工件分析期间检测到的活动恶意程度的评分,该分数介于 0 到 100 之间。其他图标指示分析期间在哪些操作系统中观察到相应的活动。
  • 类型:在工件分析期间检测到的活动的类型。其中包括:
    • 自动启动:能够在计算机关机后重新启动。
    • 禁用:能够停用系统的关键组件。
    • 规避:能够避开分析环境。
    • 文件:文件系统上的可疑活动。
    • 内存:系统内存中的可疑活动。
    • 网络:网络层面的可疑活动。
    • 信誉:已知源或由知名组织签名。
    • 设置:能够永久更改关键系统设置。
    • 特征码: 恶意主体标识。
    • 窃取:能够访问且可能泄露敏感信息。
    • 隐藏:能够保持不被用户或分析系统发现。
    • 静默:没有危害性的对象标识。
  • 描述:与工件分析期间检测到的每种活动类型相关的描述。
  • ATT&CK 策略:攻击的某个或多个 MITRE ATT&CK 阶段。多个策略以逗号分隔。
  • ATT&CK 技巧:观察到的恶意行为者可能使用的操作或工具。多种技术以逗号分隔。
其他工件
该部分列出在分析提交的样本期间观察到的其他工件(文件和 URL),将提交这些工件以进行深入分析。此部分包含以下字段:
  • 描述:描述其他工件。
  • SHA1:其他工件的 SHA1 哈希值。
  • 内容类型:其他工件的 MIME 类型。
  • 评分:其他工件的恶意评分。
解码的命令行参数
如果在分析期间执行了任何 PowerShell 脚本,系统将对这些脚本进行解码,以使其参数以更便于用户阅读的形式提供。
第三方工具
该链接指向 VirusTotal 门户上有关工件的报告。

“报告”选项卡

单击报告选项卡上的向下箭头,选择要查看的报告。报告中的信息因所分析的文件类型而异。

分析信息
此部分包含有关当前报告涉及的分析的以下关键信息:
  • 分析主体:文件的 MD5 哈希值。
  • 分析类型:执行的分析类型:
    • Microsoft Windows 10 上的动态分析:分析对象在使用 VMware NSX® Network Detection and Response™ 沙箱的虚拟 Windows 10 环境中运行。系统监控文件行为及其与操作系统的交互,以查找可疑或恶意的指标。
    • Microsoft Windows 7 上的动态分析:分析对象在使用沙箱的虚拟 Windows 7 环境中运行。系统监控文件行为及其与操作系统的交互,以查找可疑或恶意的指标。
    • 在插入指令的 Chrome 浏览器中进行动态分析:使用基于 Google Chrome 的插入指令的浏览器检查分析对象(如 HTML 文件或 URL)。实施的浏览器准确地再现真实浏览器的行为,因此,不容易被恶意内容采集指纹。
    • 在仿真浏览器中进行动态分析:使用仿真浏览器检查分析对象(如 HTML 文件或 URL)。仿真浏览器可以动态模拟不同的浏览器“特性”(例如,更改其用户代理或更改其公开的 API)。在分析针对特定浏览器类型或版本的恶意内容时,该功能是非常有用的。此分析类型的缺点是,此浏览器不太真实,可能被恶意内容识破。
    • 在模拟的文件查看器中进行动态分析:使用模拟文件查看器检查分析对象(如 PDF 文件)。查看器可以检测嵌入式内容和链接。
    • 存档扩充:分析对象(存档)已扩充,其内容已解压缩,如果类型适当,则提交以进行分析。
  • 使用的密码:如果可用,则提供密码,以在后端成功解密样本。