Les sections Objet de l'analyse affichent l'activité réelle de l'exemple, telle que collectée par le service NSX Advanced Threat Prevention.
Les sections incluent le sujet d'origine analysé et les sujets supplémentaires suivis par l'environnement d'analyse, car ils ont été générés par le sujet d'origine ou parce que le sujet d'origine a altéré leur mémoire.
Note : Certaines de ces activités ne sont pas présentes pour un exemple spécifique.
Cliquez sur
pour développer chacune des sections suivantes.
Nom de la section | Description |
---|---|
E/S de console | Données écrites dans les handles de la console (descripteurs de fichiers d'entrée et de sortie standard). |
Arguments de ligne de commande décodés | Les arguments des scripts PowerShell malveillants sont souvent codés ou brouillés. Si un script a été exécuté pendant l'analyse, le serveur principal VMware le décode, rendant ses arguments disponibles sous une forme plus lisible par l'utilisateur. |
E/S du terminal |
Liste des E/S de terminal des opérations d'E/S tentées par l'objet pendant l'exécution. Pour chaque opération, le périphérique ciblé et le code de contrôle sont enregistrés. |
Activité du pilote | Liste des pilotes accessibles par l'objet pendant l'exécution. Les opérations suivantes sont enregistrées : chargement et déchargement. |
Exceptions | Liste des scripts exécutés par l'objet pendant l'exécution. Pour chaque ligne, il existe une entrée pour le Nom, le TYPE et l'INTERPRÉTEUR. Vous pouvez trier la liste selon n’importe quelle colonne. |
Scripts exécutés | Liste des scripts exécutés par l'objet pendant l'exécution. Pour chaque ligne, il existe une entrée pour le Nom, le TYPE et l'INTERPRÉTEUR. Vous pouvez trier la liste selon n’importe quelle colonne. |
Activité du système de fichiers | Liste des fichiers accessibles par l'objet pendant l'exécution. Les opérations suivantes sont enregistrées : lecture, écriture, changement de nom, suppression. Pour les fichiers écrits, la nouvelle taille et le hachage MD5 du fichier sont enregistrés. |
Bibliothèques | Liste des fichiers de bibliothèque chargés par l'objet lors de l'exécution. |
Contenu de la mémoire | Données notables trouvées dans la mémoire du programme. Le système extrait, par exemple, des adresses IP, des domaines et des URL lors de l’analyse. |
Activité Mutex | Liste des verrous Mutex accessibles par l'objet pendant l'exécution. Les opérations suivantes sont enregistrées : création et ouverture. |
Activité réseau | Liste des conversations réseau impliquant l'objet pendant l'exécution. Les conversations suivantes sont enregistrées : communications via FTP, HTTP, IRC, SMTP et d'autres types de protocoles UDP/TCP. Les demandes DNS et les téléchargements de fichiers distants sont également enregistrés. |
Traiter les interactions | Liste des interactions de processus tentées par l'objet pendant l'exécution. Les opérations suivantes sont enregistrées : création de processus, création de threads, lecture et écriture de mémoire. |
Activité du registre | Liste des clés et des valeurs de registre accessibles par l'objet lors de l'exécution. Les opérations suivantes sont enregistrées : lecture, écriture, suppression et surveillance. |
Activité du service | Liste des services accessibles par l'objet pendant l'exécution. Les opérations suivantes sont enregistrées : démarrage, arrêt, modification des paramètres. |
Activité des fenêtres | Liste des fenêtres ouvertes par l'objet lors de l'exécution. |