Die Analysesubjekt-Abschnitte zeigen die tatsächliche Aktivität der Probe an, wie sie vom NSX Advanced Threat Prevention-Dienst erfasst wurde.
Diese Abschnitte enthalten das ursprünglich analysierte Subjekt und die von der Analyseumgebung verfolgten zusätzlichen Subjekten, die entweder vom ursprünglichen Subjekt erzeugt wurden oder weil das ursprüngliche Subjekt seinen Speicher manipuliert hat.
Hinweis: Nicht alle diese Aktivitäten sind für eine bestimmte Probe vorhanden.
Klicken Sie auf das Symbol
, um jeden der folgenden Abschnitte zu erweitern.
, um jeden der folgenden Abschnitte zu erweitern.
| Abschnittsname | Beschreibung |
|---|---|
| Konsole-E/A | Daten, die in Konsolen-Handles geschrieben werden (Dateideskriptoren für Standardeingabe und Standardausgabe). |
| Entschlüsselte Befehlszeilenargumente | Die Argumente bösartiger PowerShell-Skripts sind häufig verschlüsselt oder verschleiert. Wenn ein Skript während der Analyse ausgeführt wurde, entschlüsselt das VMware-Backend das Skript und stellt die Argumente in einer besser lesbaren Form zur Verfügung. |
| Geräte-E/A |
Geräte-E/A Liste der E/A-Vorgänge, die vom Subjekt während der Laufzeit versucht wurden. Für jeden Vorgang werden das Zielgerät und der Steuerungscode aufgezeichnet. |
| Treiberaktivität | Liste der Treiber, auf die das Subjekt während der Laufzeit zugreift. Die folgenden Vorgänge werden aufgezeichnet: Laden und Entladen. |
| Ausnahmen | Liste der vom Subjekt während der Laufzeit ausgeführten Skripts. Für jede Zeile gibt es einen Eintrag für den Namen, den TYP und den INTERPRETER. Sie können die Liste nach einer beliebigen Spalte sortieren. |
| Ausgeführte Skripts | Liste der vom Subjekt während der Laufzeit ausgeführten Skripts. Für jede Zeile gibt es einen Eintrag für den Namen, den TYP und den INTERPRETER. Sie können die Liste nach einer beliebigen Spalte sortieren. |
| Dateisystemaktivität | Liste der Dateien, auf die das Subjekt während der Laufzeit zugreift. Die folgenden Vorgänge werden aufgezeichnet: Lesen, Schreiben, Umbenennen, Löschen. Für geschriebene Dateien werden die neue Größe und der MD5-Hash der Datei aufgezeichnet. |
| Bibliotheken | Liste der Bibliotheksdateien, die vom Subjekt während der Laufzeit geladen wurden. |
| Arbeitsspeicherinhalte | Beachtenswerte Daten im Programmarbeitsspeicher. Das System extrahiert z. B. IPs, Domänen und URLs während der Analyse. |
| Mutex-Aktivität | Liste der Mutex-Sperren, auf die das Subjekt während der Laufzeit zugegriffen hat. Die folgenden Vorgänge werden aufgezeichnet: Erstellen und Öffnen. |
| Netzwerkaktivität | Liste der Netzwerkkonversationen, an denen das Subjekt während der Laufzeit beteiligt war. Die folgenden Konversationstypen werden aufgezeichnet: Kommunikation über FTP, HTTP, IRC, SMTP und andere Arten von UDP/TCP-Protokollen. DNS-Anforderungen und Remotedatei-Downloads werden ebenfalls aufgezeichnet. |
| Prozessinteraktionen | Liste der Prozessinteraktionen, die das Subjekt während der Laufzeit versucht hat. Die folgenden Vorgänge werden aufgezeichnet: Prozesserstellung, Thread-Erstellung, Lesen und Schreiben von Arbeitsspeicher. |
| Registrierungsaktivität | Liste der Registrierungsschlüssel und -werte, auf die das Subjekt während der Laufzeit zugreift. Die folgenden Vorgänge werden aufgezeichnet: Lesen, Schreiben, Löschen und Überwachen. |
| Dienstaktivität | Liste der Dienste, auf die das Subjekt während der Laufzeit zugreift. Die folgenden Vorgänge werden aufgezeichnet: Starten, Beenden, Ändern von Parametern. |
| Fensteraktivität | Liste der vom Subjekt während der Laufzeit geöffneten Fenster. |
