Интернет-справка ESET

Поиск Русский
Выберите тему

Отчет о поведении

В веб-консоли перейдите в раздел Отправленные файлы. Выберите файл и щелкните Показать подробности > Просмотреть поведение, чтобы просмотреть отчет о поведении файла. В этом отчете содержатся важные данные о проверенном файле и наблюдаемом поведении на основе анализа песочницы. Каждый образец может содержать несколько наблюдаемых поведений. В зависимости от типа лицензии вам могут быть доступны отчет о поведении и результаты двух разных типов.

Пользователи без лицензии EDR/XDR

Отчет состоит из следующих разделов.

1.Результат: окончательная оценка файла.

2.Усовершенствованные модули сканирования: результаты, полученные на уровне сканирования.

3.Песочница для поведенческого анализа: результаты, полученные на уровне поведения.

4.Проанализированное поведение: список случаев проанализированного поведения и результаты.

behaviors_old

Пользователи с лицензией EDR/XDR

note

Отчет о поведении можно загрузить, нажав кнопку Загрузить PDF.

Отчет состоит из следующих разделов.

1.Результат: окончательная оценка файла.

2.Сведения о файле: результаты с уровня сканирования.

3.Хэш SHA-1: содержит хэш и ссылку на VirusTotal.

4.Хэш SHA-256: содержит хэш SHA-256.

5.Сведения о песочнице: результаты с уровня поведения.

6.Анализируемое поведение: список случаев обнаруженного поведения и результаты. Для навигации по сведениям после анализа можно использовать строку поиска.

7.Статический анализ –Можно воспользоваться разделом Статический анализ для анализа образцов в их средах.

example

Отчет о поведении

behaviors

Воспользуйтесь строкой поиска или просмотрите журналы согласно следующим данным:

1.Процесс — структурированный в виде дерева список действий, сгруппированных по запущенным процессам. Вы можете просмотреть файлы и изменения реестра, сгруппированные по процессам. Вкладка Процесс разделена на следующие разделы:

Процесс — список действий, выполненных в отношении процессов.

Файл — сведения о затронутых файлах.

Реестр — сведения о затронутых реестрах.

Сеть — список действий сети.

Другое — объекты, такие как события, мьютекс, запросы инструментария управления Windows (WMI).

 

2.Операции — список действий по типу операции. Вкладка Операции разделена на следующие части:

Процесс — список действий, выполненных в отношении процессов.

Файл — сведения о затронутых файлах.

Реестр — сведения о затронутых реестрах.

Сеть — список действий сети.

Другое — объекты, такие как события, мьютекс, запросы инструментария управления Windows (WMI).

Взаимодействие — подробный обзор взаимодействия в песочнице.

 

3.Журналы API — обзор активности процесса по выбранным системным функциям.

process_api

analyzed_behaviors

Статический анализ

Можно воспользоваться разделом Статический анализ для анализа образцов в их средах. Здесь предусмотрены следующие вкладки:

Подробности — доступны два окна: окно Общая информация с общими сведениями о файле и окно Версии со сведениями о версии файла.

Геометрия файла — структурная информация, полученная от подсистем ESET. Файлы, включенные во вложенный файл, будут выделены.

Импорт — отображение видимых библиотек и их импорта, включая те, которые не затронуты файлом. Динамически загружаемые библиотеки и их импорт можно найти в разделе Журналы API. Файлы, включенные во вложенный файл, будут выделены.

Экспорт — отображение функций экспорта, допустимых для файлов .dll.

Разделы — отображение переносимых исполняемых файлов, содержащих код и данные, совместимые с программой.

Ресурсы — отображение содержимого из раздела .rsrc. Файлы известных типов будут выделены.

Методы — отображение методов и функций, используемых образцами.

MacOS — отображение классов Objective-C, характерных для образцов macOS. Файлы, включенные во вложенный файл, будут выделены.

static_an

note

В примере показаны только четыре вкладки, но их может быть больше в зависимости от типа файла.