Las secciones Asunto del análisis muestran la actividad real de la muestra, tal como la recopila el servicio NSX Advanced Threat Prevention.
Las secciones incluyen el asunto original que se está analizando y otros asuntos del entorno de análisis, ya sea porque los generó el asunto original o porque el asunto original alteró su memoria.
Nota: No todas estas actividades están presentes para una muestra específica.
Haga clic en el icono
para expandir cada una de las siguientes secciones.
Nombre de la sección | Descripción |
---|---|
E/S de consola | Datos escritos en los identificadores de la consola (descriptores de archivos de entrada y de salida estándar). |
Argumentos de la línea de comandos descodificados | Los argumentos de scripts malintencionados de PowerShell a menudo se codifican u ofuscan. Si se ejecutó un script durante el análisis, el back-end de VMware lo descodifica, lo que hace que sus argumentos estén disponibles en un formato más legible. |
E/S de dispositivo |
Lista de E/S de dispositivos de operaciones de E/S intentadas por el asunto durante el tiempo de ejecución. Para cada operación, se registran el dispositivo de destino y el código de control. |
Actividad del controlador | Lista de controladores a los que accede el asunto durante el tiempo de ejecución. Se registran las siguientes operaciones: carga y descarga. |
Excepciones | Lista de scripts ejecutados por el asunto durante el tiempo de ejecución. Para cada fila, hay una entrada para Nombre, TIPO e INTÉRPRETE. Puede ordenar la lista por cualquier columna. |
Scripts ejecutados | Lista de scripts ejecutados por el asunto durante el tiempo de ejecución. Para cada fila, hay una entrada para Nombre, TIPO e INTÉRPRETE. Puede ordenar la lista por cualquier columna. |
Actividad del sistema de archivos | Lista de archivos a los que accede el asunto durante el tiempo de ejecución. Se registran las siguientes operaciones: lectura, escritura, cambio de nombre y eliminación. Para los archivos escritos, se registra el nuevo tamaño y el hash MD5 del archivo. |
Bibliotecas | Lista de archivos de biblioteca cargados por el asunto durante el tiempo de ejecución. |
Contenido de la memoria | Se encontraron datos destacados en la memoria del programa. El sistema extrae, por ejemplo, direcciones IP, dominios y URL durante el análisis. |
Actividad de Mutex | Lista de bloqueos de exclusión mutua a los que accede el asunto durante el tiempo de ejecución. Se registran las siguientes operaciones: creación y apertura. |
Actividad de red | Lista de conversaciones de red relacionadas con el asunto durante el tiempo de ejecución. Se registran los siguientes tipos de conversaciones: comunicaciones a través de FTP, HTTP, IRC, SMTP y otros tipos de protocolos UDP/TCP. También se registran las solicitudes de DNS y las descargas de archivos remotos. |
Interacciones del proceso | Lista de interacciones de procesos intentadas por el asunto durante el tiempo de ejecución. Se registran las siguientes operaciones: creación de procesos, creación de subprocesos, lectura y escritura de memoria. |
Actividad del registro | Lista de valores y claves de registro a los que accede el asunto durante el tiempo de ejecución. Se registran las siguientes operaciones: lectura, escritura, eliminación y supervisión. |
Actividad de servicio | Lista de servicios a los que accede el asunto durante el tiempo de ejecución. Se registran las siguientes operaciones: iniciar, detener y modificar parámetros. |
Actividad de Windows | Lista de ventanas abiertas por el asunto durante el tiempo de ejecución. |