有關“代碼注入”事件的資訊

顯示“代碼注入”事件資訊的視窗包含以下詳情：

• 事件樹。
• 處理事件時可以執行的動作。
• “代碼注入”部分：
  • IOA 標記— 有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊：用於建立警示的 TAA (IOA) 規則的名稱。

    點擊連結以顯示有關 TAA (IOA) 規則的資訊。如果規則是由卡巴斯基專家提供的，則它包含有關觸發的 MITRE 技術的資訊以及對事件進行反應的建議。

    MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。

    如果在建立事件時觸發了 TAA (IOA) 規則，則會顯示該欄位。

  • 檔案— 目標處理程序檔案的路徑。
  • 處理程序 ID— 目標處理程序的識別碼。
  • 啟動參數— 目標處理程序的命令列選項。
  • 修改的啟動選項— 修改的目標處理程序的命令列選項。

    如果使用 ARG_SPOOFING 方法注入代碼，則會顯示此欄位。

  • MD5— 目標處理程序檔案的 MD5 雜湊。
  • SHA256— 目標處理程序檔案的 SHA256 雜湊。
  • 存取方法— 存取目標處理程序的方法。

    此欄位可以具有以下值：WRITE_EXECUTABLE_MEMORY、SET_WINDOWS_HOOK、QUEUE_APC_THREAD、SET_THREAD_CONTEXT – .MAP_VIEW_OF_SECTION、CREATE_REMOTE_THREAD、ARG_SPOOFING。

  • 位址空間— 目標處理程序位址空間中放置遠端執處理程序式碼的位址。

    如果使用 SET_WINDOWS_HOOK 或 aRG_SPOOFING 方法注入代碼，則不會填入此欄位。

  • 系統調用參數— 啟動目標處理程序的命令列。
  • DLL 名稱— 包含鉤子過程的 DLL 的名稱以及注入後傳遞控制權的函數的名稱。

    如果使用 SET_WINDOWS_HOOK 方法注入代碼，則填入此欄位。

  • DLL 完整路徑— 包含鉤子過程的 DLL 的路徑。

    如果使用 SET_WINDOWS_HOOK 方法注入代碼，則填入此欄位。

  • 事件時間— 代碼注入的時間。
  • 調用跟蹤— 攔截代碼注入相關函數時的 API 呼叫堆疊。
• 事件發起者部分：
  • 檔案— 父處理程序檔案的名稱。
  • MD5— 父處理程序檔案的 MD5 雜湊。
  • SHA256— 父處理程序檔案的 SHA256 雜湊。
• 系統資訊部分：
  • 主機名稱— 發生代碼注入的主機的名稱。
  • 使用者名稱— 用於代碼注入的使用者帳戶的名稱。
  • 作業係統版本— 主機上正在使用的作業系統的版本。

頁面頂部