跳至內容

處理序詳細資料

當您在威脅圖表中按一下受影響的檔案時,程式詳情 窗格會顯示檔案的最新詳細資料。

其中包括檔案的全域信譽、路徑、名稱、命令列、處理序 ID、執行用戶、SHA256、開始和結束時間以及持續時間。下列螢幕擷取畫面顯示與 Internet Explorer 11 相關聯之處理序的詳細資料:

iexplore.exe 的「處理序詳細資料」窗格

請求最新情報

如果檔案尚未提交給 Sophos 進行其他分析,則會看到文字 該檔案無當前情報。。如果未提交檔案或者您想查看是否有任何更新的情報,按一下 請求最新情報。這會向計算機傳送請求,以將檔案上載到 SophosLabs。

分析檔案後,您將看到有關檔案的全域信譽以及是否需要調查的最新資訊。

顯示信譽和散佈情況的「處理序詳細資料」窗格

信譽得分顯示了檔案的可信度。Sophos 依照從紅色(危險)到綠色(安全)對信譽進行評分。已知的安全檔案會顯示在評級中的綠色範圍內,而已知的惡意檔案會顯示在紅色範圍中。

信譽得分上升或下降的原因很多,包括 Sophos 看到該文檔時間和次數以及檔案的靜態/行爲屬性。第一次看到該檔案時,它可能會得到橙色範圍(未知)內的得分,因爲它是一個新檔案。Sophos 對其分析後,得分可能會移動到已知危險範圍或已知安全範圍。

如果您有 Intercept X Advanced with XDR 或 Intercept X Advanced for Server with XDR,您還可看到如下所示的更多資訊和選項。

報告摘要

報告摘要 下,您可看到檔案的信譽和散佈情況以及機器學習分析得出的結果,這些結果表明檔案的可信度。

機器學習分析

設定 說明
普遍性 表示 SophosLabs 看到過檔案的頻率。
首次出現 表示SophosLabs 第一次在外界看到該檔案的時間。
上次出現 表示 SophosLabs 最後一次在外界看到該檔案的時間。
機器學習分析 簡要說明檔案的可信度。

機器學習分析

機器學習分析 下,您可看到我們分析的完整結果。

屬性 顯示了該檔案屬性與數以百萬計的已知危險檔案和已知安全檔案的屬性的比較結果。您可據此確認每個屬性的可信度,以及該檔案是安全還是危險。您可看到以下屬性:

  • 匯入表示檔案從外部 DLL 使用的功能。
  • 字串表示檔案中最重要的字串。
  • 編譯器是指編譯原始碼時使用的編譯器,如 C++、Delphi、Visual Basic、NET。
  • 風險降低表示檔案用以避免入侵的技術。
  • 資源是指可能要壓縮或加密的資源。
  • 摘要通常與構建或編譯日期等相關。
  • Packer 通常指有關檔案特定區段的注意事項,例如可疑的區段名稱或某區段可寫入和可執行的事實。
  • Peid 指的是 PEiD 輸出,PEiD 是一種協力廠商工具,它可掃描 PE 檔案,使其免受各種惡意軟體簽章的侵害。
  • Btcaddress 顯示可在檔案中找到的任何有效比特幣位址。
  • Findcryptt 顯示任何可疑的密碼編譯常數。

代碼類似度 顯示了檔案與數以百萬計已知危險檔案和已知安全檔案間的比較,並列出了最接近的相符項目。其他相符項目計入結果,可能會影響檔案的評分。檔案與危險檔案的相符項目越多,與危險檔案匹配的程度越接近,檔案就越可疑。

檔案/路徑 顯示了檔案路徑與數以百萬計已知危險檔案和已知安全檔案之路徑的比較。如果檔案路徑與已知危險檔案的路徑更加符合,則它更可能是可疑的。用於比較的路徑和檔案名稱是您的(如果您請求了最新情報),或者是向我們傳送檔案的最後一位客戶的。我們隱藏了其他客戶路徑中的敏感資訊。

檔案屬性

檔案屬性 下,您可看到有關檔案本身的關鍵資訊,例如產品、類型、版權資訊、版本、公司名稱、大小和時間戳記。

檔案分解

PE 檔案區段 顯示有關檔案每個區段的資訊,例如程序碼、資料或資源。例如,區段名稱可表示特定 Packer、編譯器或功能。惡意軟體會加入填充詞、俚語等字串,讓其變得引人注目。

此外,還提供了有關區段大小以及磁碟和記憶體上的資訊。有時,某一區段極小或極大,有時只存放在磁碟或記憶體中。您可看到該區段的熵,以及它是否是可讀取、可寫入或可執行。所有這些資訊有助於您確定區段是否已封裝、包含資料、包含程序碼或是異常。

有關檔案區段的更多資訊,請參閱區段表格(區段標題)

PE 匯入 顯示檔案使用的 DLL,如果展開匯入 API 的每個 DLL。您可看到用於網路活動的 DLL 或有助於密碼擷取的 API。DLL 名稱可能很常見。也有可能過於異常,以致網際網路搜尋顯示為可疑或惡意,因此從其匯入的檔案也會顯示為可疑或惡意。有關 PE 匯入的詳細資訊,請參閱匯入程式庫格式

您可能還會看到 PE 匯出,其中顯示了該檔案可爲其他檔案提供的程序碼。這可能看起來無危險或明顯有危險。有關 PE 匯出的詳細資訊,請參閱 .edata 區段(僅圖像)

尋找

按一下 搜尋 以在您的網路上發現更多檔案示例。

清除與攔截

如果檔案可疑,您可以使用 清除與攔截

這會在任何已存在檔案的裝置上清除該檔案(以及相關檔案和金鑰)。這還會將其新增至攔截清單以便其不能在其他裝置上運行。您可在 概觀 > 整體設定 > 攔截項目 下看到攔截項目。

回到頁首