有关“代码注入”事件的信息

显示“代码注入”事件信息的窗口包含以下详情：

• 事件树。
• 处理事件时可以执行的操作。
• “代码注入”部分：
  • IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。

    单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的，则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。

    MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。

    如果在创建事件时触发了 TAA (IOA) 规则，则会显示该字段。

  • 文件 — 目标进程文件的路径。
  • 进程 ID — 目标进程的标识符。
  • 启动参数 — 目标进程的命令行选项。
  • 修改的启动选项 — 修改的目标进程的命令行选项。

    如果使用 ARG_SPOOFING 方法注入代码，则会显示此字段。

  • MD5 — 目标进程文件的 MD5 哈希。
  • SHA256 — 目标进程文件的 SHA256 哈希。
  • 访问方法 — 访问目标进程的方法。

    该字段可以具有以下值：WRITE_EXECUTABLE_MEMORY、SET_WINDOWS_HOOK、QUEUE_APC_THREAD、SET_THREAD_CONTEXT – .MAP_VIEW_OF_SECTION、CREATE_REMOTE_THREAD、ARG_SPOOFING。

  • 地址空间 — 目标进程地址空间中放置远程执行代码的地址。

    如果使用 SET_WINDOWS_HOOK 或 ARG_SPOOFING 方法注入代码，则不会填充此字段。

  • 系统调用参数 — 启动目标进程的命令行。
  • DLL 名称 — 包含钩子过程的 DLL 的名称以及注入后传递控制权的函数的名称。

    如果使用 SET_WINDOWS_HOOK 方法注入代码，则填充此字段。

  • DLL 完整路径 — 包含钩子过程的 DLL 的路径。

    如果使用 SET_WINDOWS_HOOK 方法注入代码，则填充此字段。

  • 事件时间 — 代码注入的时间。
  • 调用跟踪 — 拦截代码注入相关函数时的 API 调用堆栈。
• 事件发起者部分：
  • 文件 — 父进程文件的名称。
  • MD5 — 父进程文件的 MD5 哈希。
  • SHA256 — 父进程文件的 SHA256 哈希。
• 系统信息部分：
  • 主机名称 — 发生代码注入的主机的名称。
  • 用户名称 — 用于代码注入的用户账户的名称。
  • 操作系统版本 — 主机上正在使用的操作系统的版本。

页面顶部