В окне результатов проверки объекта в Sandbox могут отображаться следующие сведения об обнаружении:
Файл – полное имя и путь проверенного файла.
Размер файла – размер файла.
MD5 – MD5-хеш файла.
По ссылке с MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:
Найти на TIP.
Найти события.
Найти обнаружения.
Создать правило запрета.
Скопировать значение в буфер.
Обнаружено – одна или несколько категорий обнаруженных объектов. Например, если приложение обнаружило файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено будет указана категория Trojan-Downloader.JS.Cryptoload.ad для этого обнаружения.
Время обработки – время выполнения проверки файла.
Версии баз – версии баз модулей и компонентов Kaspersky Anti Targeted Attack Platform, выполнивших обнаружение.
Кнопка Новое правило запрета в правом верхнем углу окна позволяет запретить запуск файла.
Информация о результатах исследования поведения файла приводится для каждой операционной системы, в которой компонент Sandbox выполнил проверку. Для операционной системы Windows 7 (64-разрядная) вы можете просмотреть журналы активности файла для двух режимов проверки компонента Sandbox – Режим быстрой проверки и Режим ведения полного журнала.
Для каждого режима проверки могут быть доступны следующие журналы активности:
Список активностей – действия файла внутри операционной системы.
Дерево активностей – графическое представление процесса исследования файла.
Журнал HTTP-активности – журнал HTTP-активности файла. Содержит следующую информацию:
IP назначения – IP-адрес, на который файл пытается перейти из операционной системы.
Метод – метод HTTP-запроса, например, GET или POST.
URL – URL-адрес ссылки на веб-сайт, которую файл пытается открыть из операционной системы.
По ссылкам в столбце IP назначения раскрывается список, в котором вы можете выбрать одно из следующих действий:
Найти на TIP.
Найти события.
Найти обнаружения.
Скопировать значение в буфер.
По ссылкам в столбце URL раскрывается список, в котором вы можете выбрать одно из следующих действий:
Найти на TIP по URL.
Найти на TIP по имени домена.
Найти события.
Найти обнаружения.
Скопировать значение в буфер.
Журнал действий IDS – журнал сетевой активности файла. Содержит следующую информацию:
IP источника – IP-адрес хоста, на котором хранится файл.
IP назначения – IP-адрес, на который файл пытается перейти из операционной системы.
Метод – метод HTTP-запроса, например, GET или POST.
URL – URL-адрес ссылки на веб-сайт, которую файл пытается открыть из операционной системы.
По ссылкам в столбце IP назначения раскрывается список, в котором вы можете выбрать одно из следующих действий:
Найти на TIP.
Найти события.
Найти обнаружения.
Скопировать значение в буфер.
По ссылкам в столбце URL раскрывается список, в котором вы можете выбрать одно из следующих действий:
Найти на TIP по URL.
Найти на TIP по имени домена.
Найти события.
Найти обнаружения.
Скопировать значение в буфер.
Журнал DNS-активности – журнал DNS-активности файла. Содержит следующую информацию:
Тип запроса (Request или Response).
DNS-имя – доменное имя сервера.
Тип – тип DNS-запроса (например, A или CNAME).
Хост – имя хоста или IP-адрес, с которым осуществлялось взаимодействие.
По ссылкам в столбцах DNS-имя и Хост раскрывается список, в котором вы можете выбрать одно из следующих действий:
Найти на TIP.
Найти события.
Найти обнаружения.
Скопировать значение в буфер.
Кнопка Скачать полный журнал в нижней части каждого из режимов проверки Режим быстрой проверки и Режим ведения полного журнала позволяет скачать журнал исследования поведения файла в каждой операционной системе на компьютер.