分析主体部分显示 NSX Advanced Threat Prevention 服务收集的样本的实际活动。
这些部分包括分析的原始主体和分析环境跟踪的其他主体,因为它们是由原始主体生成的,或者因为原始主体篡改了它们的内存。
注: 对于特定样本,并非所有这些活动都存在。
可以单击
图标以展开每个以下部分。
图标以展开每个以下部分。
| 部分名称 | 描述 |
|---|---|
| 控制台 I/O | 写入到控制台句柄的数据(标准输入和标准输出文件描述符)。 |
| 解码的命令行参数 | 恶意 PowerShell 脚本的参数通常进行了编码或模糊处理。如果在分析期间执行了脚本,VMware 后端将对其进行解码,以通过更便于用户阅读的形式提供其参数。 |
| 设备 I/O |
主体在运行时尝试的 I/O 操作的设备 I/O 列表。对于每个操作,将记录目标设备和控制代码。 |
| 驱动程序活动 | 主体在运行时访问的驱动程序列表。记录了以下操作:加载和卸载。 |
| 例外 | 主体在运行时执行的脚本列表。每一行具有 Name、TYPE 和 INTERPRETER 条目。您可以按任何列对列表进行排序。 |
| 已执行的脚本 | 主体在运行时执行的脚本列表。每一行具有 Name、TYPE 和 INTERPRETER 条目。您可以按任何列对列表进行排序。 |
| 文件系统活动 | 主体在运行时访问的文件列表。记录了以下操作:读取、写入、重命名、删除。对于写入的文件,将记录文件的新大小和 MD5 哈希值。 |
| 库 | 主体在运行时加载的库文件列表。 |
| 内存内容 | 在程序内存中找到值得注意的数据。例如,系统在分析期间提取 IP、域和 URL。 |
| 互斥活动 | 主体在运行时访问的互斥锁列表。记录了以下操作:创建和打开。 |
| 网络活动 | 运行时涉及主体的网络对话列表。记录了以下类型的对话:通过 FTP、HTTP、IRC、SMTP 和其他类型的 UDP/TCP 协议进行的通信。还会记录 DNS 请求和远程文件下载。 |
| 进程交互 | 主体在运行时尝试的进程交互列表。记录了以下操作:创建进程、创建线程、读写内存。 |
| 注册表活动 | 主体在运行时访问的注册表项和值列表。记录了以下操作:读取、写入、删除和监控。 |
| 服务活动 | 主体在运行时访问的服务列表。记录了以下操作:启动、停止和修改参数。 |
| 窗口活动 | 主体在运行时打开的窗口列表。 |
