分析主體區段會顯示 NSX Advanced Threat Prevention 服務所收集樣本的實際活動。

這些區段包括分析的原始主體和分析環境追蹤的其他主體,因為它們是由原始主體產生的,或者因為原始主體篡改其記憶體。

備註: 對於特定樣本,並非所有這些活動都會存在。
按一下 加號圖示 圖示以展開每個下方的區段。
區段名稱 說明
主控台 I/O 寫入到主控台控制代碼的資料 (標準輸入和標準輸出檔案描述元)。
解碼的命令列引數 對惡意 PowerShell 指令碼的引數通常會進行編碼或模糊處理。如果在分析期間執行了指令碼,VMware 後端會將其解碼,以使其引數透過更便於使用者閱讀的形式提供。

裝置 I/O

主體在執行階段期間嘗試的 I/O 作業的裝置 I/O 清單。對於每個作業,將記錄目標裝置和控制代碼。
驅動程式活動 主體在執行階段期間存取的驅動程式清單。記錄下列作業:載入和解除載入。
例外狀況 主體在執行階段執行的指令碼清單。針對每一個資料列,會有 Name、TYPE 和 INTERPRETER 項目。您可以依任何資料行排序清單。
執行的指令碼 主體在執行階段執行的指令碼清單。針對每一個資料列,會有 Name、TYPE 和 INTERPRETER 項目。您可以依任何資料行排序清單。
檔案系統活動 主體在執行階段期間存取的檔案清單。記錄下列作業:讀取、寫入、重新命名、刪除。對於寫入的檔案,將記錄檔案的新大小和 MD5 雜湊。
程式庫 主體在執行階段載入的程式庫檔案清單。
記憶體內容 在程式記憶體中找到值得注意的資料。例如,系統在分析期間擷取的 IP、網域和 URL。
互斥活動 主體在執行階段期間存取的互斥鎖定清單。記錄下列作業:建立和開啟。
網路活動 執行階段期間涉及主體的網路對話清單。記錄下列類型的對話:透過 FTP、HTTP、IRC、SMTP 和其他類型的 UDP/TCP 通訊協定進行的通訊。還會記錄 DNS 要求和遠端檔案下載。
程序互動 主體在執行階段期間嘗試的程序互動清單。記錄下列作業:程序建立、執行緒建立、記憶體讀寫。
登錄活動 主體在執行階段期間存取的登錄機碼和值清單。記錄下列作業:讀取、寫入、刪除和監控。
服務活動 主體在執行階段期間存取的服務清單。記錄下列作業:啟動、停止和修改參數。
視窗活動 主體在執行階段期間開啟的視窗清單。