ESET Inspect – 目录

进程详细信息

复制当前文章 URL 通过电子邮件共享

本文 (PDF) 完整文档 (PDF)

此列表包含具有进程详细信息的所有磁贴：

•名称 - 此处显示进程名称。单击名称可重定向到可执行文件详细信息页面。

•SHA-1 - 可执行文件的哈希。

单击哈希旁边的齿轮图标可显示上下文菜单，您可以在其中找到两个选项：

•打开Virus Total 搜索页面，您可以在设置选项卡中定义该页面。

•复制到剪贴板可将哈希添加到剪贴板。

•签名者姓名 - 文件签名者（如果适用）。

•见到的位置 - 在其中发现文件的计算机。单击见到的位置可重定向到计算机视图，您可以在其中找到过滤的列表。

•签名类型 - 签名类型（如果已签名）：受信任、有效、无、无效或未知。如果值为“已存在”，则对可执行文件进行签名，但 ESET Inspect 无法识别证书的状态。虽然在 Windows 中不常见，但在 MacOS 上，端点不会验证签名，唯一的状态是“已存在”或“无”。

•见到的位置 - 在其中发现文件的计算机。单击见到的位置可重定向到计算机视图，您可以在其中找到过滤的列表。

•文件描述 - 文件的完整描述。

•首次见到 - 可执行文件在受监视网络中的任意计算机上首次被发现的时间。

•上次执行时间 - 上次在受监视网络中的任何计算机上执行可执行文件的时间。

LiveGrid®

•信誉 (LiveGrid®) - 1 到 9 之间的数字，指示文件的安全程度：1-2（红色）表示恶意，3-7（黄色）表示可疑，8-9（绿色）表示安全。

•人气 (LiveGrid®) - 有多少台计算机向 LiveGrid® 报告了可执行文件

•首次见到 (LiveGrid®) - 首次在连接到 LiveGrid® 的任何计算机上看到可执行文件的时间

人气	LiveGrid® 中受影响的计算机数	颜色	说明
0	0	红色	未看见
1	1–9	红色	低
2	10–99	黄色	中
3	100–999	黄色	中
4	1 000–9 999	黄色	中
5	10 000–99 999	绿色	高
6	100 000–999 999	绿色	高
7	1 000 000–9 999 999	绿色	高
8	10 000 000–99 999 999	绿色	高
9	100 000 000–999 999 999	绿色	高
10	1 000 000 000–9 999 999 999	绿色	高
11	10 000 000 000–99 999 999 999	绿色	高

事件

•文件 - 可执行文件执行的修改数。

•注册表 - 可执行文件执行的注册表修改数。

•网络 - 可执行文件建立的网络连接数。

计算机

显示触发检测的计算机名称。单击计算机名称以查找计算机详细信息。单击查看此计算机上的检测以打开特定计算机的检测列表。

•父组- 分配了特定计算机的计算机组的名称。您可以在 ESET PROTECT 中更改计算机的组。

•上次连接时间 - 为侦听被阻止的哈希通知、下载文件或终止进程的请求而创建的永久连接，每 90 秒刷新一次。

•最后一个事件 - 发送到服务器的最后一个事件的时间戳。此事件发生在计算机上，而不是发送到 ESET Inspect Server 时。

•ESET Inspect Connector 版本 - 在计算机上部署的 ESET Inspect Connector 版本。

•操作系统名称 - 在计算机上运行的操作系统 (OS)。

•操作系统版本 - 在计算机上运行的操作系统 (OS) 版本。

•进程 - 进程名称和 ID。单击可执行文件名称可重定向到可执行文件详细信息页面。

•命令行 - 执行此进程的命令行命令。

•路径 - 可执行文件所在的磁盘上的路径。

•开始时间 - 进程开始的时间。

•结束时间 - 进程完成的时间。

•父进程 - 创建子进程的进程。单击名称可重定向到进程详细信息。

•第一个放置器 - 指第一个被记录为在给定计算机上放置（在磁盘上创建）给定进程的模块（可执行文件）的进程。单击它可重定向到进程详细信息。

•已泄露 - 如果可用，则表示进程已泄露。

•LnkPath - 包含快捷执行的路径

•可执行文件 - 由第一个放置器和启动进程的放置器放置的可执行文件名称。

完整性级别

由箭头表示，出现在进程树、检测选项卡的网格中，以及所有显示进程名称的地方。完整性级别包括：

•不受信任 - 蓝色箭头向下。阻止对大多数对象的大多数写入访问。

•低 - 蓝色箭头向下。阻止对注册表项和文件对象的大多数写入访问。

•中等 - 无图标。这是启用 UAC 时大多数进程的默认设置。

•高 - 红色箭头向上。如果禁用了 UAC，并且管理员是当前登录的用户，则大多数进程都将具有此设置。

•系统 - 红色箭头向上。此设置是为系统级组件保留的。

•受保护的进程 - 红色箭头向上。某些反恶意软件服务使用此设置来加载受信任的签名代码，并包括针对代码注入攻击的内置防御。

用户名

显示触发检测时登录的用户名或帐户名。从 Active Directory 中提取以下详细信息：

•全名

•职位

•用户部门

•用户说明

要显示用户详细信息，必须在 Active Directory 中定义以下参数：

ESET Inspect 参数名称	属性名称
全名	cn
职位	标题
用户部门	division
用户说明	说明

然后，执行同步任务进行更新。

注释

添加注释。

审核日志

显示检测操作：“已解决”、“未解决”、“已注释”和“优先级已更改”。

侧边的进程树

进程树反映了进程之间的父子关系，其中子进程直接显示在其父进程的正下方并右缩进。侧边的进程是孤立的进程，其父进程已退出。

进程详细信息操作按钮：

•事件:

o创建事件报告

o添加到当前事件

o添加到最近的事件，其中显示最近三个事件

o选择要添加到的事件

•下载文件 - 下载可执行文件以进行进一步调查。

•终止进程 - 如果进程在操作内存中仍处于活动状态，则终止该进程。

•提交到 ESET LiveGuard - 手动提交文件进行 ESET LiveGuard 分析。

请勿阻止或终止任何 Windows 系统进程或可执行文件，例如 svchost.exe。这可能会导致操作系统崩溃。

˄˅