行为报告
在 Web 控制台中,导航到提交的文件。选择文件,然后依次单击显示详细信息 > 查看行为,以查看文件行为报告。此报告包含有关沙箱分析中检查文件和观察行为的重要数据。每个样本可以具有多个观察到的行为。根据您拥有的许可证类型,您可以看到两种不同的行为报告布局和结果。
非 EDR/XDR 许可证用户
报告包含以下内容:
1.结果 – 文件的最终评估
2.高级扫描引擎 – 扫描层的结果
3.行为分析沙箱 – 行为层的结果
4.分析的行为 – 分析的行为及其结果列表
EDR/XDR 许可证用户
您可以通过下载 PDF 按钮下载行为报告。 |
报告包含以下内容:
1.结果 – 文件的最终评估
2.文件详细信息 – 来自扫描层的结果
3.SHA-1 哈希 - 包含哈希和指向 VirusTotal 的链接。
4.SHA-256 哈希 - 包含 SHA-256 哈希。
5.沙盒详细信息 – 来自行为层的结果
6.分析的行为 – 检测到的行为及其结果列表。您可以在分析后使用搜索栏浏览详细信息。
7.静态分析您可以查看静态分析部分来分析其环境中的样本。
行为报告示例 modified=“2
分析的行为使用搜索栏或根据以下内容查看日志: 1.进程 - 根据正在运行的进程分组的树状结构操作列表。您可以看到按进程分组的文件和注册表更改。进程选项卡分为以下部分: •进程 - 对进程执行的操作的列表。 •文件 - 有关受影响文件的详细信息。 •注册表 - 有关受影响注册表的详细信息。 •网络 - 网络活动列表。 •其他 - 事件、互斥、WMI 查询等对象。
2.操作 - 基于操作类型的操作列表。操作选项卡分为以下几个部分: •进程 - 对进程执行的操作的列表。 •文件 - 有关受影响文件的详细信息。 •注册表 - 有关受影响注册表的详细信息。 •网络 - 网络活动列表。 •其他 - 事件、互斥、WMI 查询等对象。 •交互 - 详细的沙盒交互概述。
3.API 日志 - 通过所选系统功能进行的进程活动的概述。 静态分析您可以查看静态分析部分来分析其环境中的样本。 这里包含以下选项卡: •详细信息 - 将显示两个窗口:一个包含文件概述的常规信息窗口和一个包含文件版本详细信息的版本窗口。 •几何文件 - 列出从 ESET 子系统获取的结构信息。 将突出显示嵌套文件中包含的文件。 •导入 - 列出可见库及其导入内容,包括那些不受文件影响的库。您可以在 API 日志部分找到动态加载的库及其导入内容。 将突出显示嵌套文件中包含的文件。 •导出 - 列出对 .dll 文件有效的导出函数。 •部分 - 列出包含符合程序的代码和数据的可移植可执行文件。 •资源 - 列出 .rsrc 部分的内容。将突出显示文件类型已知的文件。 •方法 - 列出样本使用的方法和函数。 •MacOS - 列出特定于 macOS 样本的 Objective-C 类。 将突出显示嵌套文件中包含的文件。 |