Системные активности

Kaspersky Research Sandbox предоставляет информацию о действиях, зарегистрированных во время выполнения файла. Результаты отображаются в отдельных таблицах. Каждая таблица содержит до 100 записей.

Карта выполнения файла графически представляет последовательность действий файла и взаимосвязи между ними. Корневой узел дерева представляет исполняемый файл. Каждый элемент дерева отмечен в соответствии с его уровнем опасности (Высокий, Средний или Низкий). Можно щелкнуть мышью элемент дерева и просмотреть подробную информацию о нем. Также можно масштабировать карту выполнения файла, прокручивая ее область.

Чтобы отобразить информацию только для определенного идентификатора процесса, введите PID в поле Search for Process ID.

Среды выполнения с установленными операционными системами Microsoft Windows

Активность

Название таблицы	Описание	Поля таблицы
Process operations	Взаимодействие файла с различными процессами, зарегистрированными во время выполнения файла.	Process ID – уникальный номер (идентификатор) процесса в операционной системе. Operation – тип взаимодействия между выполняемым файлом и процессом. Path – имя процесса, который взаимодействовал с выполняемым файлом. Command line – отображение введенной команды. Requestor process ID – уникальный родительский номер (идентификатор) процесса в операционной системе.
Loaded images/modules	Загруженные образы, обнаруженные во время выполнения файла.	Process ID – уникальный номер (идентификатор) процесса в операционной системе. Operation – название операции. Path – полный путь к загруженному образу/модулю. Thread ID – уникальный номер (идентификатор) потока. Size – размер загруженного образа/модуля в байтах. Image base – предпочтительный адрес первого байта образа при загрузке в память.
File operations	Файловые операции, зарегистрированные во время выполнения файла.	Process ID – уникальный номер (идентификатор) процесса в операционной системе. Operation – название операции. Path – путь к объекту. Thread ID – уникальный номер (идентификатор) потока. Size – размер объекта.
Registry operations	Операции, выполненные в реестре операционной системы и обнаруженные во время выполнения файла. Первыми показываются операции, которые привели к подозрительным действиям.	Process ID – уникальный номер (идентификатор) процесса в операционной системе. Operation – название операции. Key – раздел реестра операционной системы. Thread ID – уникальный номер (идентификатор) потока. Value name – значения реестра представляют собой пары имя/данные, хранящиеся в разделах. Значения реестра рассматриваются отдельно от разделов реестра.
Synchronize operations	Операции созданных объектов синхронизации (взаимные исключения (мьютексы), семафоры и события), зарегистрированные во время выполнения файла.	Process ID – уникальный номер (идентификатор) процесса в операционной системе. Operation – название операции. Name – название созданного объекта синхронизации.

Среды выполнения с установленными операционными системами Android

Активность

Название таблицы	Описание	Поля таблицы
Loaded modules	Модули, загруженные файлом во время выполнения.	Status – статус (уровень опасности) модуля. Severity – серьезность уровня опасности модуля. Path – полный путь к загруженному модулю. Description – описание загруженного модуля.

Название таблицы

Описание

Поля таблицы

Loaded modules

Модули, загруженные файлом во время выполнения.

Status – статус (уровень опасности) модуля.

Severity – серьезность уровня опасности модуля.

Path – полный путь к загруженному модулю.

Description – описание загруженного модуля.

Среды выполнения с установленными операционными системами Linux

Активность

Название таблицы

Описание

Поля таблицы

Process operations

Взаимодействие файла с различными процессами, зарегистрированными во время выполнения файла.

Process ID – уникальный номер (идентификатор) процесса в операционной системе.

Operation – тип взаимодействия между выполняемым файлом и процессом.

Path – имя процесса, который взаимодействовал с выполняемым файлом.

Command line – отображение введенной команды.

Requestor process ID – уникальный родительский номер (идентификатор) процесса в операционной системе.

Loaded images/modules

Загруженные образы, обнаруженные во время выполнения файла.

Process ID – уникальный номер (идентификатор) процесса в операционной системе.

Operation – название операции.

Path – полный путь к загруженному образу/модулю.

Thread ID – уникальный номер (идентификатор) потока.

Size – размер загруженного образа/модуля в байтах.

Image base – предпочтительный адрес первого байта образа при загрузке в память.

File operations

Файловые операции, зарегистрированные во время выполнения файла.

Process ID – уникальный номер (идентификатор) процесса в операционной системе.

Operation – название операции.

Path – путь к объекту.

Thread ID – уникальный номер (идентификатор) потока.

Size – размер объекта.

В начало