- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
13-沙箱日志
本章节下载: 13-沙箱日志 (305.11 KB)
用户可通过沙箱日志查看沙箱检测的结果,包括报文基本信息、检测文件的基本信息以及检测文件是否携带威胁等。
其中,威胁分类和威胁行为字段取值的具体内容请参见“附录”。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
· 沙箱日志的详细信息仅支持以JSON格式显示。
· 附录中字段的取值与沙箱的软件版本有关,请以实际情况为准。
表-1 威胁分类取值对应表
|
ID |
威胁分类 |
|
0 |
其它 |
|
1 |
病毒 |
|
2 |
木马 |
|
3 |
蠕虫 |
|
4 |
后门 |
|
5 |
勒索软件 |
|
6 |
下载器 |
|
7 |
广告 |
|
8 |
脚本 |
|
9 |
宏病毒 |
|
10 |
恶意漏洞文件 |
|
11 |
网络钓鱼 |
|
12 |
风险工具 |
|
13 |
加壳软件 |
|
14 |
启发式行为 |
|
15 |
数字货币 |
|
16 |
僵尸网络 |
|
17 |
APT情报 |
|
18 |
DGA恶意域名 |
表-2 威胁行为取值对应表
|
ID |
威胁行为 |
|
1 |
设置开机自启动行为 |
|
2 |
包含远程注入其他进程行为 |
|
3 |
设置降低防火墙安全级别,或者加入白名单 |
|
4 |
设置绕过UAC,提升自身到管理员权限行为 |
|
5 |
禁用修改系统保护机制 |
|
6 |
检测系统中是否安装或运行杀软 |
|
7 |
检测自身是否在沙箱中运行,或者被调试器调试 |
|
8 |
有自己删除本地文件的行为 |
|
9 |
有DLL劫持或者映像劫持行为 |
|
10 |
替换自身为windows自带的exe或dll文件 |
|
11 |
文件名和系统关键进程相近,假冒关键进程 |
|
12 |
感染现有PE文件 |
|
13 |
加载驱动程序 |
|
14 |
修改IE安全策略 |
|
15 |
添加修改windows账号 |
|
16 |
添加修改windows服务 |
|
17 |
文档类进程有可疑网络连接行为 |
|
18 |
文档类进程创建可疑进程释放可疑文件 |
|
19 |
文档类释放可执行程序 |
|
20 |
自动关机重启注销 |
|
21 |
PE文件执行释放文档脚本类文件 |
|
22 |
修改host文件 |
|
23 |
Hook程序关键函数,修改程序流程 |
|
24 |
提升程序本身权限 |
|
25 |
脚本文件调用powershell行为 |
|
26 |
脚本文件恶意网络行为 |
|
27 |
访问敏感文件如浏览器的用户名密码文件 |
|
28 |
Android软件话费吸取 |
|
29 |
Android软件恶意广告 |
|
30 |
Android软件窃取隐私 |
|
31 |
文件类型欺骗 |
|
32 |
修改文件隐藏属性 |
|
33 |
可执行文件恶意的网络行为 |
|
34 |
恶意的快捷方式文件 |
|
35 |
可疑的宏文件 |
|
200 |
病毒 |
|
201 |
间谍木马 |
|
202 |
蠕虫 |
|
203 |
后门 |
|
204 |
勒索软件 |
|
205 |
downloader |
|
206 |
广告 |
|
207 |
脚本病毒 |
|
208 |
恶意漏洞文件 |
|
209 |
病毒生成器 |
|
210 |
加壳软件 |
|
211 |
启发式行为 |
|
212 |
风险工具 |
|
213 |
网络钓鱼 |
|
214 |
宏病毒 |
|
215 |
其他威胁类型 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
