跳至主内容

查看分析详情

沙盒分析器 页面按日期倒序显示提交卡片。

sandbox-analyzer-submission-card.png

每张提交卡片包含以下数据:

  • 分析结果

  • 样本名称

  • 提交类型

  • 严重性评分

  • 涉及的文件和进程

  • 提交样本的终端 沙盒分析器

  • 引爆环境

  • 哈希值(MD5)

  • ATT&CK技术

  • 结果不可用时的提交状态

每份提交卡片均包含指向详细HTML分析报告的链接(如有)。点击 查看 按钮即可打开报告。

HTML报告通过多层级结构呈现丰富信息,包含描述性文本、图表及屏幕截图,直观展示样本在引爆环境中的行为特征。

以下是您可通过 沙盒分析器 HTML报告获取的信息:

  1. 样本基础数据:包括恶意软件名称与分类、提交详情(文件名、类型、大小、哈希值、提交时间及分析时长)。

  2. 行为分析结果:按章节归类引爆过程中捕获的所有安全事件。

    sandbox-analyzer-html-report.png

    安全事件涉及以下方面:

    • 在系统及可移动驱动器上写入/删除/移动/复制/替换文件。

    • 执行新创建的文件。

    • 文件系统变更。

    • 虚拟机内运行应用程序的改动。

    • Windows任务栏和开始菜单的更改。

    • 创建/终止/注入进程。

    • 写入/删除注册表键值。

    • 创建互斥对象。

    • 创建/启动/停止/修改/查询/删除服务。

    • 更改浏览器安全设置。

    • 修改Windows资源管理器显示设置。

    • 将文件添加至防火墙例外列表。

    • 变更网络配置。

    • 启用系统启动时执行。

    • 连接远程主机。

    • 访问特定域名。

    • 与特定域名进行数据收发。

    • 通过多种通信协议访问URL、IP及端口。

    • 检测虚拟环境特征指标。

    • 检测监控工具特征指标。

    • 创建快照。

    • SSDT、IDT、IRP钩子。

    • 可疑进程的内存转储。

    • Windows API函数调用。

    • 保持静默特定时间段以延迟执行。

    • 创建按特定时间间隔执行动作的文件。

注意

提交至云沙箱的样本会在引爆后立即删除,生成的HTML报告可保留365天。

提交至本地实例的 沙箱分析器(本地部署版) 样本及HTML报告默认保留14天。您可在沙箱管理器部分延长该时限。

本节 :