분석 대상 섹션에는 NSX Advanced Threat Prevention 서비스에서 수집한 샘플의 실제 활동이 표시됩니다.
섹션에는 분석되는 원래 대상과 원래 대상으로 인해 생성되었거나 해당 메모리가 변조되었기 때문에 분석 환경에서 추적되는 추가 대상이 포함됩니다.
참고: 특정 샘플에서 이러한 모든 활동이 존재하는 것은 아닙니다.
아이콘을 클릭하여 다음 각 섹션을 확장합니다.
섹션 이름 | 설명 |
---|---|
콘솔 I/O | 콘솔 핸들(표준 입력 및 표준 출력 파일 설명자)에 기록된 데이터입니다. |
디코딩된 명령줄 인수 | 악성 PowerShell 스크립트에 대한 인수는 종종 인코딩되거나 난독 처리됩니다. 분석 중에 스크립트가 실행된 경우 VMware 백엔드가 스크립트를 디코딩하여 인수를 사람이 좀 더 쉽게 읽을 수 있는 형태로 만듭니다. |
디바이스 I/O |
런타임 중에 대상이 시도한 I/O 작업의 디바이스 I/O 목록입니다. 각 작업에 대해 대상 디바이스와 제어 코드가 기록됩니다. |
드라이버 작업 | 런타임 중에 대상이 액세스하는 드라이버 목록입니다. 로딩 및 언로딩 작업이 기록됩니다. |
예외 | 런타임 중에 대상이 실행한 스크립트 목록입니다. 각 행에 이름, TYPE 및 INTERPRETER에 대한 항목이 있습니다. 원하는 열을 기준으로 목록을 정렬할 수 있습니다. |
실행된 스크립트 | 런타임 중에 대상이 실행한 스크립트 목록입니다. 각 행에 이름, TYPE 및 INTERPRETER에 대한 항목이 있습니다. 원하는 열을 기준으로 목록을 정렬할 수 있습니다. |
파일 시스템 작업 | 런타임 중에 대상이 액세스하는 파일 목록입니다. 읽기, 쓰기, 이름 변경, 삭제 등의 작업이 기록됩니다. 작성한 파일의 경우 파일의 새 크기와 MD5 해시가 기록됩니다. |
라이브러리 | 런타임 중에 대상이 로드한 라이브러리 파일의 목록입니다. |
메모리 컨텐츠 | 프로그램 메모리에서 찾은 기록할만한 데이터입니다. 시스템은 분석 중에 IP, 도메인 및 URL을 추출합니다. |
뮤텍스 활동 | 런타임 동안 대상이 액세스하는 뮤텍스 잠금 목록입니다. 생성 및 열기 작업이 기록됩니다. |
네트워크 작업 | 런타임 동안 대상과 관련된 네트워크 대화 목록입니다. FTP, HTTP, IRC, SMTP 및 기타 유형의 UDP/TCP 프로토콜을 통한 통신 등, 대화 유형이 기록됩니다. DNS 요청 및 원격 파일 다운로드도 기록됩니다. |
프로세스 상호 작용 | 런타임 동안 대상이 시도한 프로세스 상호 작용 목록입니다. 프로세스 생성, 스레드 생성, 메모리 읽기 및 쓰기 작업이 기록됩니다. |
레지스트리 작업 | 런타임 동안 대상이 액세스하는 레지스트리 키 및 값의 목록입니다. 읽기, 쓰기, 삭제 및 모니터링 작업이 기록됩니다. |
서비스 작업 | 런타임 동안 대상이 액세스하는 서비스 목록입니다. 매개 변수 시작, 중지, 수정 작업이 기록됩니다. |
창 작업 | 런타임 중에 대상이 연 창 목록입니다. |