Prozessdaten

Wenn Sie in einem Bedrohungsfall auf eine betroffene Datei klicken, werden im Fenster Prozessdaten die neuesten Details der Datei angezeigt.

Dazu gehören die globale Reputation der Datei, Pfad, Name, Befehlszeile, Prozess-ID, ausführender Benutzer, SHA256, Start- und Endzeit und Dauer. Der folgende Screenshot zeigt die Details eines Prozesses, der mit Internet Explorer 11 verknüpft ist:

Bereich „Prozessdetails“ für iexplore.exe

Aktuellste Daten anfordern

Wenn die Datei nicht zur weiteren Analyse an Sophos gesendet wurde, wird der Text Keine aktuellen Bedrohungsdaten zu dieser Datei. angezeigt. Wenn die Datei noch nicht übermittelt wurde oder Sie möchten wissen, ob aktualisierte Informationen vorhanden sind, klicken Sie auf Aktuellste Daten anfordern. Dadurch wird eine Anforderung an den Computer gesendet, die Datei nach SophosLabs hochzuladen.

Wenn die Datei analysiert wurde, sehen Sie die neuesten Informationen über die globale Reputation der Datei und ob Sie Nachforschungen durchführen müssen.

Bereich „Prozessdetails“, in dem Reputation und Prävalenz angezeigt werden

Die Reputationsbewertung zeigt die Vertrauenswürdigkeit der Datei an. Sophos bewertet den Ruf auf einer Skala von rot (schlecht) bis grün (gut). Bekannte saubere Dateien werden im grünen Bereich der Skala und bekannte schädliche Dateien im roten Bereich angezeigt.

Der Reputationswert steigt oder sinkt aus vielen Gründen, einschließlich, wann und wie oft die Datei von Sophos geprüft wurde und die statischen/verhaltensbezogenen Eigenschaften der Datei. Wenn die Datei zum ersten Mal angezeigt wird, kann sie eine Punktzahl im orangen Bereich (unbekannt) erhalten, da es sich um eine neue Datei handelt. Nachdem Sophos sie analysiert hat, kann die Punktzahl in den bekannten schlechten oder bekannten guten Bereich wechseln.

Wenn Sie Intercept X Advanced with EDR oder Intercept X Advanced with EDR for Server verwenden, sehen Sie weitere Informationen und Optionen, wie folgt.

Zusammenfassung des Berichts

Unter Zusammenfassung des Berichts sehen Sie die Reputation und die Verbreitung der Datei sowie die Ergebnisse unserer Machine-Learning-Analyse, die darauf hinweisen, wie verdächtig die Datei ist.

Einstellung

Beschreibung

Häufigkeit

Gibt an, wie oft SophosLabs die Datei gesehen hat.

Erstes Auftreten

Gibt an, wann SophosLabs SophosLabs die Datei zum ersten Mal im Netz gesehen hat.

Letztes Auftreten

Gibt an, wann SophosLabs SophosLabs die Datei zuletzt im Netz gesehen hat.

Analyse des maschinellen Lernens

Fasst zusammen, wie verdächtig die Datei ist.

Analyse des maschinellen Lernens

Unter Analyse des maschinellen Lernens können Sie die vollständigen Ergebnisse unserer Analyse sehen.

Attribute zeigt einen Vergleich der Dateiattribute mit den Attributen von Millionen bekannten schädlichen und bekannten „guten“ Dateien an. So können Sie feststellen, wie verdächtig jedes Attribut ist und ob die Datei wahrscheinlich gut oder schädlich ist. Folgende Attribute können angezeigt werden:

  • Importe beschreibt die Funktionalität, die die Datei von externen DLLs verwendet.
  • Strings beschreibt die wichtigsten Strings in der Datei.
  • Compiler gibt an, was zum Kompilieren des Quellcodes verwendet wurde, z. B. C++, Delphi, Visual Basic, .NET.
  • Gegenmaßnahme beschreibt Techniken, die die Datei verwendet, um nicht ausgenutzt zu werden.
  • Resources gibt eine Ressource an, die komprimiert oder verschlüsselt zu sein scheint.
  • Zusammenfassung bezieht sich häufig auf Build- oder Kompilierungsdaten.
  • Packer gibt oft etwas an, das für einen bestimmten Abschnitt der Datei wichtig ist, zum Beispiel einen verdächtigen Abschnittsnamen oder die Tatsache, dass ein Abschnitt sowohl beschreibbar als auch ausführbar ist.
  • Peid bezieht sich auf die Ausgabe von PEiD, einem Drittanbieter-Tool, das eine PE-Datei nach verschiedenen Malware-Signaturen scannt.
  • Btcaddress zeigt alle gültigen Bitcoin-Adressen an, die in der Datei gefunden werden.
  • Findcrypt zeigt verdächtige kryptografische Konstanten an.

Code-Ähnlichkeit zeigt einen Vergleich der Datei mit Millionen von bekannten schädlichen und bekannten „guten“ Dateien an und listet die engsten Übereinstimmungen auf. Andere Übereinstimmungen werden für das Ergebnis berücksichtigt und können die Bewertung der Datei beeinflussen. Je mehr die Datei mit schädlichen Dateien übereinstimmt und je genauer sie übereinstimmen, desto verdächtiger ist die Datei.

Datei/Pfad zeigt einen Vergleich des Dateipfads mit dem von Millionen bekannten schädlichen und bekannten „guten“ Dateien an. Wenn der Pfad der Datei eher dem Pfad bekannter schädlicher Dateien entspricht, ist die Datei eher verdächtig. Pfad und Dateiname, die zum Vergleich herangezogen werden, stammen entweder von Ihnen (wenn Sie die neuesten Informationen angefordert haben) oder vom letzten Kunden, der uns eine Datei gesendet hat. Wir verbergen sensible Informationen in den Pfaden anderer Kunden.

Datei-Eigenschaften

Unter Datei-Eigenschaften können Sie wichtige Informationen über die Datei selbst sehen, z. B. Produkt, Typ, Copyright-Informationen, Version, Firmenname, Größe und Zeitstempel.

Dateiaufschlüsselung

PE-Dateiabschnitte zeigt Informationen zu jedem Abschnitt der Datei an, z. B. Code, Daten oder Ressourcen. Abschnittsnamen können beispielsweise auf bestimmte Packer, Compiler oder Funktionen hinweisen. Malware kann durch Strings, die Expletive, Slang und so weiter enthalten, erkennbar sein.

Es gibt auch Informationen über die Größe der Abschnitte, auf der Festplatte und im Speicher. Manchmal ist ein Abschnitt sehr klein oder sehr groß und manchmal nur auf der Festplatte oder im Speicher. Sie können die Entropie des Abschnitts sehen, und ob er lesbar, beschreibbar oder ausführbar ist. All dies hilft Ihnen zu bestimmen, ob ein Abschnitt gepackt ist, Daten enthält, Code enthält oder ungewöhnlich ist.

Für weitere Informationen zu Dateiabschnitten, siehe Section Table (Section Headers).

PE-Importe zeigt an, welche DLLs die Datei verwendet und, wenn Sie sie erweitern, welche APIs aus ihnen importiert werden. Es werden DLLs angezeigt, die für Netzwerkaktivitäten verwendet werden, oder APIs, die bei der Passwortextraktion hilfreich sein können. Die DLL-Namen können sehr häufig vorkommen. Alternativ können sie ungewöhnlich genug sein, dass eine Internet-Suche zeigt, dass sie verdächtig oder schädlich sind, und daher auch die Datei, aus der sie importiert wurden. Für weitere Informationen zu PE-Importen, siehe Import Library Format.

Möglicherweise sehen Sie auch PE-Exporte, was zeigt, welchen Code die Datei für andere Dateien zur Verfügung stellt. Dies kann harmlos oder offensichtlich schlecht sein. Für Informationen zu PE-Exporten, siehe The .edata Section (Image Only).

Suchen

Klicken Sie auf Suchen, um nach weiteren Vorkommen der Datei in Ihrem Netzwerk zu suchen.

Sie können Suchvorgänge auch über die Seite Suchen nach Bedrohungen oder über den Bereich Suche nach Bedrohung auf dem Dashboard durchführen.

Entfernen und blockieren

Wenn die Datei verdächtig ist, können Sie Entfernen und blockieren verwenden.

Dadurch wird die Datei (und die zugehörigen Dateien und Schlüssel) auf jedem Gerät, auf dem sie sich bereits befindet, bereinigt. Sie wird auch einer Liste mit blockierten Elementen hinzugefügt, damit sie auf anderen Geräten nicht ausgeführt werden kann. Blockierte Elemente werden unter Globale Einstellungen > Blockierte Elemente angezeigt.