分析详细信息部分显示 NSX Advanced Threat Prevention 服务收集的分析主体的实际活动。活动用于确定对其类型进行的评估。

以下活动显示在该分析详细信息部分中。

活动类型 描述
网络活动

列出在分析期间访问的所有 URL,以及主体请求或包含的其他 Web 内容。每个额外的 URL 是与其内容类型、服务器状态代码、服务器 IP 地址、响应内容哈希值(MD5 和 SHA1)、响应内容长度和请求计时(开始时间、结束时间和持续时间,以毫秒为单位)一起记录的。
资源

列出在 URL 分析期间通过 res 协议访问的本地资源。恶意网页有时访问本地资源以探测执行环境;例如,确定是否安装了某些程序。

只有在分析期间遇到资源事件时,才会显示该部分。
代码执行活动

列出在分析期间执行的代码。特别是,它显示在资源中静态包含的感兴趣的代码(使用 <script> 标记),以及在 URL 分析期间动态生成和执行的所有代码。恶意代码通常是在运行时生成的,以绕过静态特征码并使其分析变得更复杂。

  • 静态 JavaScript 代码:仅在分析期间遇到相关事件时显示。
  • 动态 JavaScript 代码:报告指示在分析期间是否未遇到任何事件。

  • HTML 代码:通过 document.write() 等函数动态添加到文档中的代码。否则,报告指示在分析期间是否未遇到任何事件。
隐藏的 iframe

列出在导航期间检测到的隐藏 HTML 标记,例如 iframe。有时,在破坏的页面中使用隐藏元素以从第三方网站中引入恶意代码。

只有在分析期间遇到隐藏的标记时,才会显示该部分。
内存内容 列出在分析期间找到的字符串。

只有在分析期间遇到字符串时,才会显示该部分。
文本内容

显示从文档中提取的文本内容。

只有在分析期间找到文本时,才会显示该部分;仅限 PDF 分析。
文档中的链接

显示在已分析文档中找到的链接。

只有在分析期间遇到链接时,才会显示该部分。
插件 列出使用常见浏览器插件的任何情况。将记录对这些插件进行的调用,并且报告包含有关调用的方法和传递的参数的详细信息。
小程序 显示在 URL 分析期间下载的 Java 小程序。

只有在分析期间找到小程序时,才会显示该部分。
漏洞利用 分析环境具有检测分析主体中包含的 Shell 代码的功能。将提取检测到的 Shell 代码,并将其以十六进制格式包含在报告中。
Shell 代码 分析环境具有检测分析主体中包含的 Shell 代码的功能。将提取检测到的 Shell 代码,并将其以十六进制格式包含在报告中。
进程 列出在 URL 分析期间生成的进程。

只有在分析期间找到生成的进程时,才会显示该部分。
删除的文件

列出 URL 分析期间在系统硬盘上存储的文件。

只有在分析期间遇到文件操作时,才会显示该部分。