可执行文件详细信息
“可执行文件详细信息”窗口由以下部分组成:
•名称 - 可执行文件或 DLL 的名称。 •选择标签 - 将现有标签分配给计算机或创建自定义标签。 •签名类型 - 签名类型(如果已签名):受信任、有效、无、无效或未知。如果值为“已存在”,则对可执行文件进行签名,但 ESET Inspect 无法识别证书的状态。虽然在 Windows 中不常见,但在 MacOS 上,端点不会验证签名,唯一的状态是“已存在”或“无”。 •见到的位置 - 在其中发现文件的计算机。单击见到的位置可重定向到计算机视图,您可以在其中找到过滤的列表。 •首次见到 - 可执行文件在受监视网络中的任意计算机上首次被发现的时间。 •上次执行时间 - 上次在受监视网络中的任何计算机上执行可执行文件的时间。 •信誉 (LiveGrid®) - 1 到 9 之间的数字,指示文件的安全程度:1-2(红色)表示恶意,3-7(黄色)表示可疑,8-9(绿色)表示安全。 •人气 (LiveGrid®) - 有多少台计算机向 LiveGrid® 报告了可执行文件 •首次见到 (LiveGrid®) - 首次在连接到 LiveGrid® 的任何计算机上看到可执行文件的时间
•文件 - 可执行文件执行的修改数。 •注册表 - 可执行文件执行的注册表修改数。 •网络 - 可执行文件建立的网络连接数。 未解决的检测
•名称 - 可执行文件或 DLL 的名称。 •SHA-1 - 可执行文件的哈希。 单击哈希旁边的齿轮图标 •打开Virus Total 搜索页面,您可以在设置选项卡中定义该页面。 •复制到剪贴板可将哈希添加到剪贴板。 •SHA-256 - 存在 256 位哈希时可用。 •MD5 - 存在 MD5 哈希时可用。 •签名类型 - 签名类型(如果已签名):受信任、有效、无、无效或未知。如果值为“已存在”,则对可执行文件进行签名,但 ESET Inspect 无法识别证书的状态。虽然在 Windows 中不常见,但在 MacOS 上,端点不会验证签名,唯一的状态是“已存在”或“无”。 •用户 ID - 仅限 macOS;与“Windows 文件描述”列相同。 •签名 CN #1 - 仅限 macOS;与“Windows 产品名称”列相同。 •签名 CN #2 - 仅限 macOS;与“Windows 文件版本”列相同。 •签名 CN #3 - 仅限 macOS;与“Windows 产品版本”列相同。 •签名 CN #4 - 仅限 macOS;与“Windows 内部名称”列相同。 •签名 CN #5 - 仅限 macOS;与 Windows 原始文件名相同。 •签名 ID - 仅限 macOS;与“Windows 内部名称”列相同。 •白名单类型 - 列入白名单的可执行文件的信息: •证书 - 可执行文件已列入白名单,因为它由受信任的证书签名。 •LiveGrid® - 可执行文件已列入白名单,因为 ESET 确认了该文件的可信度。 •文件描述 - 文件的完整描述,例如:用于 AT 样式键盘的键盘驱动程序。 •文件版本 - 文件的版本号,例如 “3.10”或“5.00.RC2”。 •公司名称 - 生成文件的公司,例如 Microsoft Corporation。 •产品名称 - 分发文件的产品名称。 •产品版本 - 分发文件的产品版本。 •内部名称 - 内部文件名(如果已分配);例如,如果文件是动态链接库,则为可执行文件名称。如果文件没有内部名称,则此字符串将是不带文件扩展名的原始文件名。 •原始文件名称 - 原始文件名,不包括路径。允许应用程序确定用户是否已重命名文件。名称格式取决于为其创建文件的文件系统。 •加壳程序名称 - 加壳程序的名称(如果适用)。 •SFX 名称 - 打包的可执行文件上的自解压存档类型。 •文件大小 - 磁盘上的文件大小。 •首次见到 - 在任何计算机上被 ESET Inspect 首次识别为可执行文件的时间。 •首次执行 - 在任何计算机上首次执行可执行文件的时间。单击可重定向到可执行文件的进程详细信息。 •上次执行时间 - 上次在受监视网络中的任何计算机上执行可执行文件的时间。 •标记为安全 - 被 ESET Inspect Web 控制台的用户标记为安全。如果状态为“否”,请使用操作按钮进行更改。 •已阻止 - 已被 ESET Inspect Web 控制台的用户阻止。 •近似误报报告 - 检测由恶意软件触发,但我们无法保证它是恶意软件。 •状态 - 行为分析结果或没有结果(未知/正常/可疑/高度可疑/恶意)。 •状态 - 可执行文件在分析工作流中的当前阶段。 •发送时间 - 将可执行文件发送到 ESET LiveGuard 的时间。 •上次处理时间 - 上次处理可执行文件的时间。 •行为 - 指向可执行文件的行为报告的链接。 •源可执行文件 - 可执行文件或负责创建此可执行文件的 DLL。单击可执行文件的名称可重定向到可执行文件详细信息页面。 •源电子邮件 - 来自电子邮件附件的可执行文件。包括发件人(发送方的电子邮件地址)、收件人和主题等信息。 •源网站 - 如果适用,则在此处显示下载的 HTTP 网站 URL。HTTPS 是加密连接,不会被记录。如果您在 ESET Endpoint Security 产品中禁用 SSL 处理,则此信息将不可用: o设置 > 高级设置 > Web 和电子邮件 > SSL/TLS > 启用 SSL/TLS 协议过滤 •已删除的可执行文件 - 被此可执行文件删除的可执行文件。单击可执行文件的名称可重定向到可执行文件详细信息页面。 •审核日志 - 对此检测执行的操作;当前为:“已解决”、“未解决”、“已注释”和“优先级已更改”。 •注释 - 添加注释。 |
操作按钮:
事件 |
o创建事件报告 o添加到当前事件 o添加到最近的事件,其中显示最近三个事件 o选择要添加到的事件 |
|---|---|
阻止 |
转到阻止哈希选项卡。 |
取消阻止 |
从阻止的哈希部分删除哈希。 |
标记为安全 |
将目标标记为安全状态;许多规则用于判定风险等级。“标记为安全”对检测的影响。从目标窗口中选择要标记为安全的目标。“标记为安全”不保证特定模块不会包含在检测中。存在数百条规则,有些规则会引发检测,而无论是哪个模块执行了可疑操作,即使是像 PowerShell 这样的受信任模块也不例外。其他规则根据模块评估风险。此类规则会考虑使用“安全”标志。此标志表示用户已分析该模块并判断其不太可能为恶意软件,因此在规则评估过程中会假定风险发生在更早的阶段。 |
标记为不安全 |
将可执行文件标记为不安全。 |
下载可执行文件 |
此时将显示受影响的可执行文件或 DLL 的下载窗口。 |
提交到 ESET LiveGuard |
手动提交文件以进行 ESET LiveGuard 分析。 |
列出有关特定可执行文件或具有相同文件校验和的可执行文件的统计信息。 •见到的位置 - 出现可执行文件的计算机数。 •执行的位置 - 执行可执行文件的计算机数。 •执行计数 - 执行总数。 •发送的字节 - 该文件在所有计算机上通过所有进程发送的总字节数。 •网络连接 - 文件建立的网络连接数。 •文件修改 - 修改(写入、删除、重命名)的文件数。 •注册表修改 - 修改的注册表项数。 •删除的可执行文件 - 已删除的可执行文件的数量。 •HTTP 事件 - HTTP 事件的数量。 •DNS 事件 - DNS 事件的数量。 •Events/24H - 24 小时内的事件数。 |
提供与主检测相同的选项,但仅提供由此特定可执行文件触发的选项。单击“检测”以重定向到其检测详细信息页面。 |
列出发现具有相同文件校验和的可执行文件的所有计算机。 |