Verhaltensbericht
Der Verhaltensbericht enthält wesentliche Daten über die inspizierte Datei und das beobachtete Verhalten aus der Sandbox-Analyse. Jedes Sample kann mehrere beobachtete Verhaltensweisen haben.
Navigieren Sie in der Web-Konsole zu Übermittelte Dateien, um den Bericht anzuzeigen. Wählen Sie die Datei und klicken Sie auf Details anzeigen > Verhalten anzeigen um den Dateiverhaltensbericht anzuzeigen.
Layout des Verhaltensberichts
Das Berichtslayout und die verfügbaren Abschnitte hängen von Ihrem Lizenztyp ab:
Berichtsabschnitte |
EDR/XDR |
nicht-EDR/nicht-XDR |
|---|---|---|
|
|
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
X |
|
Alle Verhaltensberichte für Benutzer mit nicht-EDR-/nicht-XDR-Lizenz, die vor dem 15. Dezember 2025 erstellt wurden, verwenden weiterhin das Legacy-Format. |
Ergebnis
Der Ergebnisabschnitt liefert die endgültige Bewertung der Datei. Der Abschnitt enthält SHA-1- und SHA-256-Hashes der übermittelten Datei, Informationen zur Dateikategorie und Details zur Erkennung, falls verfügbar.
Zusammenfassung
Der Abschnitt Zusammenfassung enthält eine KI-generierte Zusammenfassung für Berichte mit anderen Ergebnissen als Sauber. Die Zusammenfassung enthält eine Übersicht über die Sandbox-Analyse der übermittelten Datei. Die Zusammenfassung wird dynamisch generiert, wenn Sie den Bericht öffnen. Klicken Sie auf Mehr Details anzeigen für weitere Informationen.
Dieser Abschnitt ist nur für Benutzer mit EDR-/XDR-Lizenz verfügbar.
Analyseparameter
Analyseparameter werden in zwei Kategorien unterteilt:
Die Dateidetails enthalten Informationen wie Dateiname, Kategorie und Größe. Dieser Abschnitt enthält außerdem SHA-1- und SHA-256-Hashes der übermittelten Datei.
|
Die Benutzer können VirusTotal über ein Weiterleitungssymbol |
neben den SHA-Hashes öffnen.Die Sandbox-Details enthalten die Parameter, mit denen die Replikation ausgeführt wurde.
Analysierte Verhaltensweisen
Der Abschnitt Analysierte Verhaltensweisen enthält eine Liste der erkannten Verhaltensweisen, deren Details sowie die Anzahl der Gründe für die Erkennung. Klicken Sie auf den Pfeil nach unten 
am Ende der Zeile, um weitere Informationen zur Erkennung zu erhalten.
Statische Analyse
Im Abschnitt Statische Analyse können Sie Samples in deren Umgebungen analysieren.
Dieser Abschnitt ist nur für Benutzer mit EDR-/XDR-Lizenz verfügbar.
Die folgenden Registerkarten sind verfügbar:
•Details – Enthält zwei Abschnitte: Den Abschnitt Allgemeine Informationen mit einer Übersicht über die Datei und den Abschnitt Versionen mit Details zur Dateiversion.
•Dateigeometrie – Listet strukturelle Informationen auf, die von ESET Subsystemen abgerufen wurden. Die in einer verschachtelten Datei enthaltenen Dateien werden hervorgehoben.
•Importe – Listet sichtbare Bibliotheken und deren Importe auf, einschließlich solcher, die von der Datei nicht betroffen sind. Sie finden die dynamisch geladenen Bibliotheken und deren Importe im Abschnitt API-Logs. Die in einer verschachtelten Datei enthaltenen Dateien werden hervorgehoben.
•Exporte – Listet die Exportfunktionen auf, die für .dll-Dateien gültig sind.
•Abschnitte – Listet die portablen ausführbaren Dateien auf, die Code und Daten enthalten, die mit dem Programm kompatibel sind.
•Ressourcen – Listet den Inhalt des .rsrc-Abschnitts auf. Dateien mit dem bekannten Dateityp werden hervorgehoben.
•Methoden – Listet die Methoden und Funktionen auf, die von den Samples verwendet werden.
•Objective-C-Klassen – Listet spezifische Objective-C-Klassen für macOS-Samples auf. Die in einer verschachtelten Datei enthaltenen Dateien werden hervorgehoben.
|
Im folgenden Beispiel werden nur vier Registerkarten angezeigt. Je nach Dateityp können weitere Registerkarten existieren. |
Dynamische Analyse
Dieser Abschnitt ist nur für Benutzer mit EDR-/XDR-Lizenz verfügbar.
Verwenden Sie die Suchleiste, oder zeigen Sie die Logs nach folgenden Kriterien an:
•Prozess – Die Liste der Aktionen wird als Baumstruktur angezeigt und nach ausgeführten Prozessen gruppiert. Sie können die Dateien und Registrierungsänderungen nach Prozessen gruppiert anzeigen. Wählen Sie einen Prozess, der in der Baumstruktur mit einem blauen Punkt markiert ist, um Details zu den ausgeführten Operationen anzuzeigen. Prozesse ohne blauen Punkt in der Baumstruktur haben keine überwachten Operationen ausgeführt.
•Operationen – Liste der Aktionen basierend auf dem Operationstyp. Die Registerkarte Operationen ist in Abschnitte unterteilt:
•Datei – Details zu den betroffenen Dateien.
•Interaktion – Ausführliche Übersicht über die Sandbox-Interaktion.
•Netzwerk – Liste der Netzwerkaktivitäten.
•Prozess – Liste der Aktionen, die für Prozesse ausgeführt wurden.
•Registrierung – Details zu den betroffenen Registrierungen.
Je nach ausgeführten Operationen kann die Registerkarte Operationen auch andere dynamische Abschnitte enthalten.
•API-Logs – Übersicht über die Prozessaktivität durch ausgewählte Systemfunktionen.
Verhaltensbericht ansehen und herunterladen
Flat-Modus
Sie können den Verhaltensbericht im Flat-Modus ansehen. Im Flat-Modus werden alle aufgezeichneten Aktionen oder Ereignisse in einer linearen Liste angezeigt, ohne sie unter übergeordneten Prozessen, Kategorien oder Hierarchien zu gruppieren oder zu verschachteln.
Der Flat-Modus ist standardmäßig deaktiviert. Sie können den Flat-Modus mit dem Schalter Flat-Mode oben im Bericht aktivieren.
Verhaltensbericht herunterladen
Sie können den Bericht herunterladen, indem Sie im Bereich Analyseergebnisse auf die Schaltfläche Herunterladen klicken. Sie können den Bericht als PDF- oder als JSON-Datei herunterladen.
Wenn Sie das PDF-Format auswählen, erscheint oben ein PDF-Download-Indikator, der den Download-Fortschritt anzeigt. Alternativ können Sie den PDF-Bericht direkt unter Übermittelte Dateien > Bericht exportieren herunterladen.
