分析報告包含提交到雲端的檔案的詳細結果。概觀索引標籤顯示檔案分析的高階摘要。報告索引標籤顯示有關對檔案所執行之分析的關鍵資訊。

[概觀] 索引標籤

概觀資訊以下列幾個區段進行組織整理。

分析概觀
此區段提供檔案分析結果的摘要。會顯示下列資料:
  • MD5 雜湊
  • SHA1 雜湊
  • SHA256 雜湊
  • MIME 類型
  • 提交時間戳記
威脅層級
此區段首先顯示分析結果摘要。

例如:發現檔案 md5_hash 為惡意檔案。

摘要後面顯示以下資料:

風險評估
  • 惡意評分:總評分為 100。
  • 風險估算:構件風險估計值。
    • 高:構件存在嚴重風險,必須優先處理。此類主體通常是包含漏洞的特洛伊木馬檔案或文件,從而導致受感染系統遭到嚴重破壞。風險包括資訊洩露和系統運作異常等多個方面。這些風險有一部分是從偵測到的活動類型推斷的。通常此類別的評分臨界值 ≥ 70。
    • 中:構件存在長期風險,必須密切監控。此類主體可以是包含可疑內容的網頁,其可能導致偷渡式攻擊。它們也可以是廣告軟體或偽防毒產品,其不會造成直接嚴重威脅,但可能導致系統運作出現問題。通常此類別的評分臨界值為 30-69。
    • 低:構件為良性,可以忽略。通常此風險估算的評分臨界值低於 30。
  • 防毒類別:構件所屬的防毒或惡意程式碼類別。例如,特洛伊木馬、蠕蟲、廣告軟體、勒索軟體、間諜軟體等。
  • 防毒系列:構件所屬的防毒或惡意程式碼系列。例如,valyria、darkside 等。
分析概觀
資料按嚴重性排序,包含以下欄位:
  • 嚴重性:在構件分析期間偵測到的活動惡意程度的評分,該分數介於 0 到 100 之間。其他圖示指出分析期間在哪些作業系統中觀察到對應的活動。
  • 類型:在構件分析期間偵測到的活動類型。其中包括:
    • 自動啟動:能夠在電腦關機後重新啟動。
    • 停用:能夠停用系統的關鍵元件。
    • 規避:能夠避開分析環境。
    • 檔案:檔案系統上的可疑活動。
    • 記憶體:系統記憶體中的可疑活動。
    • 網路:網路層級的可疑活動。
    • 信譽:已知來源或由知名組織簽署。
    • 設定:能夠永久更改關鍵系統設定。
    • 特徵碼:惡意主體識別。
    • 竊取:能夠存取且可能洩露機密資訊。
    • 隱藏:能夠保持不被使用者或分析系統發現。
    • 靜默:良性主體識別。
  • 說明:對應到構件分析期間偵測到的每種活動類型的說明。
  • ATT&CK 戰略:攻擊的某個或多個 MITRE ATT&CK 階段。多個戰略會以逗號分隔。
  • ATT&CK 技術:觀察到的惡意執行者可能使用的動作或工具。多個技術會以逗號分隔。
其他構件
此區段列出在分析所提交範例的期間所觀察到並且提交進行深入分析的其他構件 (檔案和 URL)。此區段包含以下欄位:
  • 說明:描述其他構件。
  • SHA1:其他構件的 SHA1 雜湊值。
  • 內容類型:其他構件的 MIME 類型。
  • 評分:其他構件的惡意程度評分。
解碼的命令列引數
如果在分析期間執行了任何 PowerShell 指令碼,系統將對這些指令碼進行解碼,以使其引數變成人工可讀形式。
第三方工具
VirusTotal 入口網站上構件的報告連結。

[報告] 索引標籤

按一下報告索引標籤上的向下箭頭,並選取要檢視的報告。報告中的資訊會隨分析的檔案類型而有所不同。

分析資訊
此區段包含有關目前報告所涉及之分析的以下關鍵資訊:
  • 分析主體:檔案的 MD5 雜湊。
  • 分析類型:已執行的分析類型:
    • Microsoft Windows 10 中的動態分析: 此分析主體在使用 VMware NSX® Network Detection and Response™ 沙箱的虛擬 Windows 10 環境中執行。系統監控檔案行為及其與作業系統的互動,以找出可疑或惡意指標。
    • Microsoft Windows 7 中的動態分析: 此分析主體在使用沙箱的虛擬 Windows 7 環境中執行。系統監控檔案行為及其與作業系統的互動,以找出可疑或惡意指標。
    • 受監控 Chrome 瀏覽器中的動態分析:使用基於 Google Chrome 的受監控瀏覽器檢查分析主體 (如 HTML 檔案或 URL)。受監控的瀏覽器準確地重現真實瀏覽器的行為,因此,不容易被惡意內容識破。
    • 模擬瀏覽器中的動態分析:使用模擬瀏覽器檢查分析主體 (如 HTML 檔案或 URL)。模擬瀏覽器可以動態模擬不同的瀏覽器「特性」(例如,變更其使用者代理程式或更改其公開的 API)。在分析針對特定瀏覽器類型或版本的惡意內容時,此功能非常有用。此分析類型的缺點是,此瀏覽器較不真實,可能被惡意內容識破。
    • 模擬的檔案檢視器中的動態分析:使用模擬的檔案檢視器檢查分析主體 (如 PDF 檔案)。檢視器可以偵測內嵌式內容和連結。
    • 封存檔擴充:分析主體 (封存檔) 已擴充,其內容已解壓縮,如果是適當的類型,則提交進行分析。
  • 使用的密碼:如果有,則提供在後端成功解密範例的密碼。