分析報告包含提交到雲端的檔案的詳細結果。概觀索引標籤顯示檔案分析的高階摘要。報告索引標籤顯示有關對檔案所執行之分析的關鍵資訊。

[概觀] 索引標籤

概觀資訊以下列幾個區段進行組織整理。

分析概觀
此區段提供檔案分析結果的摘要。會顯示下列資料:
  • MD5 雜湊
  • SHA1 雜湊
  • SHA256 雜湊
  • MIME 類型
  • 提交時間戳記
威脅層級
此區段首先顯示分析結果摘要。

例如:發現檔案 md5_hash 為惡意檔案。

摘要後面顯示以下資料:

風險評估
  • 惡意評分:總評分為 100。
  • 風險估算:構件風險估計值。
    • 高:構件存在嚴重風險,必須優先處理。此類主體通常是包含漏洞的特洛伊木馬檔案或文件,從而導致受感染系統遭到嚴重破壞。風險包括資訊洩露和系統運作異常等多個方面。這些風險有一部分是從偵測到的活動類型推斷的。通常此類別的評分臨界值 ≥ 70。
    • 中:構件存在長期風險,必須密切監控。此類主體可以是包含可疑內容的網頁,其可能導致偷渡式攻擊。它們也可以是廣告軟體或偽防毒產品,其不會造成直接嚴重威脅,但可能導致系統運作出現問題。通常此類別的評分臨界值為 30-69。
    • 低:構件為良性,可以忽略。通常此風險估算的評分臨界值低於 30。
  • 防毒類別:構件所屬的防毒或惡意程式碼類別。例如,特洛伊木馬、蠕蟲、廣告軟體、勒索軟體、間諜軟體等。
  • 防毒系列:構件所屬的防毒或惡意程式碼系列。例如,valyria、darkside 等。
分析概觀
資料按嚴重性排序,包含以下欄位:
  • 嚴重性:在構件分析期間偵測到的活動惡意程度的評分,該分數介於 0 到 100 之間。其他圖示指出分析期間在哪些作業系統中觀察到對應的活動。
  • 類型:在構件分析期間偵測到的活動類型。其中包括:
    • 自動啟動:能夠在電腦關機後重新啟動。
    • 停用:能夠停用系統的關鍵元件。
    • 規避:能夠避開分析環境。
    • 檔案:檔案系統上的可疑活動。
    • 記憶體:系統記憶體中的可疑活動。
    • 網路:網路層級的可疑活動。
    • 信譽:已知來源或由知名組織簽署。
    • 設定:能夠永久更改關鍵系統設定。
    • 特徵碼:惡意主體識別。
    • 竊取:能夠存取且可能洩露機密資訊。
    • 隱藏:能夠保持不被使用者或分析系統發現。
    • 靜默:良性主體識別。
  • 說明:對應到構件分析期間偵測到的每種活動類型的說明。
  • ATT&CK 戰略:攻擊的某個或多個 MITRE ATT&CK 階段。多個戰略會以逗號分隔。
  • ATT&CK 技術:觀察到的惡意執行者可能使用的動作或工具。多個技術會以逗號分隔。
其他構件
此區段列出在分析提交的樣本期間觀察到的其他構件 (檔案和 URL),並提交這些構件以進行深入分析。此區段包含以下欄位:
  • 說明:描述其他構件。
  • SHA1:其他構件的 SHA1 雜湊值。
  • 內容類型:其他構件的 MIME 類型。
  • 評分:其他構件的惡意程度評分。
解碼的命令列引數
如果在分析期間執行了任何 PowerShell 指令碼,系統會將這些指令碼解碼,以使其引數以更便於使用者閱讀的形式提供。
第三方工具
該連結指向 VirusTotal 入口網站上有關構件的報告。

[報告] 索引標籤

按一下報告索引標籤上的向下箭頭,並選取要檢視的報告。報告中的資訊會隨分析的檔案類型而有所不同。

分析資訊
此區段包含有關目前報告所涉及之分析的以下關鍵資訊:
  • 分析主體:檔案的 MD5 雜湊。
  • 分析類型:執行的分析類型:
    • Microsoft Windows 10 上的動態分析:此分析主體在使用 VMware NSX® Network Detection and Response™ 沙箱的虛擬 Windows 10 環境中執行。系統監控檔案行為及其與作業系統的互動,以尋找可疑或惡意的指標。
    • Microsoft Windows 7 上的動態分析:此分析主體在使用沙箱的虛擬 Windows 7 環境中執行。系統監控檔案行為及其與作業系統的互動,以尋找可疑或惡意的指標。
    • 受監控 Chrome 瀏覽器中的動態分析:使用基於 Google Chrome 的受監控瀏覽器檢查分析主體 (如 HTML 檔案或 URL)。經檢測的瀏覽器可準確地重現實際瀏覽器的行為,因此,不容易被惡意內容取得指紋。
    • 模擬瀏覽器中的動態分析:使用模擬瀏覽器檢查分析主體 (如 HTML 檔案或 URL)。模擬瀏覽器可以動態模擬不同的瀏覽器「特性」(例如,變更其使用者代理程式或更改其公開的 API)。在分析針對特定瀏覽器類型或版本的惡意內容時,此功能非常有用。此分析類型的缺點是,此瀏覽器較不真實,可能被惡意內容識破。
    • 模擬的檔案檢視器中的動態分析:使用模擬的檔案檢視器檢查分析主體 (如 PDF 檔案)。檢視器可以偵測內嵌式內容和連結。
    • 封存檔擴充:分析主體 (封存檔) 已擴充,其內容已解壓縮,如果是適當的類型,則提交進行分析。
  • 使用的密碼:如果有,則提供在後端成功解密範例的密碼。