Le sezioni Oggetto di analisi mostrano l'attività effettiva del campione, così come raccolta dal servizio NSX Advanced Threat Prevention.
Le sezioni includono l'argomento originale analizzato e gli argomenti aggiuntivi monitorati dall'ambiente di analisi perché sono stati generati dall'oggetto originale o perché l'oggetto originale ha manomesso la loro memoria.
Nota: Non tutte queste attività sono presenti per un campione specifico.
Fare clic sull'icona
per espandere ciascuna delle seguenti sezioni.
per espandere ciascuna delle seguenti sezioni.
| Nome sezione | Descrizione |
|---|---|
| I/O console | Dati scritti negli handle della console (descrittori di file di input e output standard). |
| Argomenti della riga di comando decodificati | Gli argomenti degli script PowerShell dannosi sono spesso codificati o offuscati. Se durante l'analisi viene eseguito uno script, il backend di VMware lo decodifica, rendendo i suoi argomenti disponibili in un formato più leggibile. |
| I/O dispositivo |
Elenco di I/O dispositivo di operazioni di I/O tentate dall'oggetto durante il runtime. Per ogni operazione, vengono registrati il dispositivo di destinazione e il codice di controllo. |
| Attività del driver | Elenco dei driver a cui l'oggetto accede durante il runtime. Vengono registrate le seguenti operazioni: caricamento e scaricamento. |
| Eccezioni | Elenco di script eseguiti dall'oggetto durante il runtime. Per ogni riga, è presente una voce per il nome, il TIPO e l'INTERPRETE. È possibile ordinare l'elenco in base a qualsiasi colonna. |
| Script eseguiti | Elenco di script eseguiti dall'oggetto durante il runtime. Per ogni riga, è presente una voce per il nome, il TIPO e l'INTERPRETE. È possibile ordinare l'elenco in base a qualsiasi colonna. |
| Attività del file system | Elenco dei file a cui l'oggetto accede durante il runtime. Vengono registrate le seguenti operazioni: lettura, scrittura, ridenominazione, eliminazione. Per i file scritti, vengono registrate la nuova dimensione e l'hash MD5 del file. |
| Librerie | Elenco dei file di libreria caricati dall'oggetto durante il runtime. |
| Contenuto della memoria | Dati degni di nota trovati nella memoria del programma. Il sistema estrae durante l'analisi, ad esempio, l'IP, i domini e le URL. |
| Attività mutex | Elenco dei blocchi mutex a cui l'oggetto accede durante il runtime. Vengono registrate le seguenti operazioni: creazione e apertura. |
| Attività di rete | Elenco di conversazioni di rete che coinvolgono l'oggetto durante il runtime. Vengono registrati i seguenti tipi di conversazioni: comunicazioni su FTP, HTTP, IRC, SMTP e altri tipi di protocolli UDP/TCP. Vengono inoltre registrate le richieste DNS e i download di file remoti. |
| Interazioni dei processi | Elenco delle interazioni dei processi tentate dall'oggetto durante il runtime. Vengono registrate le seguenti operazioni: creazione del processo, creazione del thread, lettura e scrittura della memoria. |
| Attività del registro | Elenco di chiavi e valori del registro di sistema a cui l'oggetto accede durante il runtime. Vengono registrate le seguenti operazioni: lettura, scrittura, eliminazione e monitoraggio. |
| Attività di servizio | Elenco dei servizi a cui l'oggetto accede durante il runtime. Vengono registrate le seguenti operazioni: avvio, arresto, modifica dei parametri. |
| Attività finestre | Elenco di finestre aperte dall'oggetto durante il runtime. |
