分析主體區段會顯示 NSX Advanced Threat Prevention 服務所收集樣本的實際活動。
這些區段包括分析的原始主體和分析環境追蹤的其他主體,因為它們是由原始主體產生的,或者因為原始主體篡改其記憶體。
備註: 對於特定樣本,並非所有這些活動都會存在。
按一下
圖示以展開每個下方的區段。
區段名稱 | 說明 |
---|---|
主控台 I/O | 寫入到主控台控制代碼的資料 (標準輸入和標準輸出檔案描述元)。 |
解碼的命令列引數 | 對惡意 PowerShell 指令碼的引數通常會進行編碼或模糊處理。如果在分析期間執行了指令碼,VMware 後端會將其解碼,以使其引數透過更便於使用者閱讀的形式提供。 |
裝置 I/O |
主體在執行階段期間嘗試的 I/O 作業的裝置 I/O 清單。對於每個作業,將記錄目標裝置和控制代碼。 |
驅動程式活動 | 主體在執行階段期間存取的驅動程式清單。記錄下列作業:載入和解除載入。 |
例外狀況 | 主體在執行階段執行的指令碼清單。針對每一個資料列,會有 Name、TYPE 和 INTERPRETER 項目。您可以依任何資料行排序清單。 |
執行的指令碼 | 主體在執行階段執行的指令碼清單。針對每一個資料列,會有 Name、TYPE 和 INTERPRETER 項目。您可以依任何資料行排序清單。 |
檔案系統活動 | 主體在執行階段期間存取的檔案清單。記錄下列作業:讀取、寫入、重新命名、刪除。對於寫入的檔案,將記錄檔案的新大小和 MD5 雜湊。 |
程式庫 | 主體在執行階段載入的程式庫檔案清單。 |
記憶體內容 | 在程式記憶體中找到值得注意的資料。例如,系統在分析期間擷取的 IP、網域和 URL。 |
互斥活動 | 主體在執行階段期間存取的互斥鎖定清單。記錄下列作業:建立和開啟。 |
網路活動 | 執行階段期間涉及主體的網路對話清單。記錄下列類型的對話:透過 FTP、HTTP、IRC、SMTP 和其他類型的 UDP/TCP 通訊協定進行的通訊。還會記錄 DNS 要求和遠端檔案下載。 |
程序互動 | 主體在執行階段期間嘗試的程序互動清單。記錄下列作業:程序建立、執行緒建立、記憶體讀寫。 |
登錄活動 | 主體在執行階段期間存取的登錄機碼和值清單。記錄下列作業:讀取、寫入、刪除和監控。 |
服務活動 | 主體在執行階段期間存取的服務清單。記錄下列作業:啟動、停止和修改參數。 |
視窗活動 | 主體在執行階段期間開啟的視窗清單。 |