有关“进程访问”事件的信息

显示文件已更改事件信息的窗口包含以下详情：

事件树。
处理事件时可以执行的操作。
根据对进程文件执行的操作类型，事件信息中会显示以下部分名称之一：
- 进程访问已打开
- 复制句柄
“进程访问已打开”显示以下信息：
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。
  单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的，则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。
  MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。
  
  如果在创建事件时触发了 TAA (IOA) 规则，则会显示该字段。
- 文件 — 接收者进程的名称。
- 进程 ID — 接收者进程的进程 ID。
- 启动参数 — 接收者进程的命令行选项。
- MD5 — 接收者进程文件的 MD5 哈希。
- SHA256 — 接收者进程文件的 SHA256 哈希。
- 访问权限 — 请求的进程访问权限。
- 大小 — 接收者进程文件的大小。
- 事件时间 — 检测到事件的时间。
- 创建时间 — 接收者进程文件的创建时间。
- 修改时间 — 接收者进程文件的上次修改时间。
- 属性修改时间 — 接收者进程文件属性发生改变的时间。
- 调用跟踪 — 调用堆栈。
“复制句柄 ”部分显示以下信息：
- 文件 — 复制过程的文件名。
- MD5 — 复制进程文件的 MD5 哈希。
- SHA256 — 复制进程文件的 SHA256 哈希。
- 创建时间 — 复制进程文件的创建时间。
- 修改时间 — 复制进程文件的上次修改时间。
- 属性修改时间 — 复制进程文件属性发生改变的时间。
- 大小 — 复制进程文件的大小。
- 进程 ID — 重复进程的 ID。
- 启动参数 — 复制进程的命令行选项。
对于此类型的事件，事件信息还包括“有关向其复制句柄的进程的信息”和“有关从其复制句柄的进程的信息”部分。这些部分包含以下信息：
- 文件 — 进程文件名。
- MD5 — 进程文件的 MD5 哈希。
- SHA256 — 进程文件的 MD5 哈希。
- 进程 ID — 进程标识符。
- 启动参数 — 进程启动设置。
- 大小 — 进程文件的大小。
- 创建时间 — 进程文件的创建时间。
- 修改时间 — 文件的上次修改时间。
- 属性修改时间 — 进程文件属性发生改变的时间。
事件发起者部分：
- 文件 — 父进程文件的路径。
- MD5 — 父进程文件的 MD5 哈希。
- SHA256 — 父进程文件的 SHA256 哈希。
- 启动参数 — 父进程启动设置。
系统信息部分：
- 主机名称 — 创建文件的主机的名称。
- 用户名称 — 创建了文件的用户的名称。
- 操作系统版本— 主机上正在使用的操作系统的版本。