使用卡巴斯基安全網路時的資料提供

Kaspersky Endpoint Security 傳送到 Kaspersky 的資料集合取決於產品授權的類型和卡巴斯基安全網路使用設定。

經產品授權在不超過 4 台電腦上使用 KSN

同意卡巴斯基安全網路聲明，表示您同意自動傳送以下資訊：

• 有關 KSN 配置更新的資訊：活動配置的識別碼、收到的配置的識別碼、配置更新的錯誤代碼；
• 有關要掃描的檔案和 URL 位址的資訊：所掃描檔案的核對總和 (MD5、SHA2-256、SHA1) 和檔案模式 (MD5)，模式大小，偵測到的威脅的類型及其在權利所有人分類中的名稱，病毒資料庫的識別碼，其信譽被請求的 URL 位址，以及引用頁 URL 位址，連線協定的識別碼和使用的連接埠號；
• 偵測到威脅的掃描工作的 ID；
• 有關需要用來驗證真實性的數位憑證的資訊：用於對掃描的物件進行簽章的憑證的核對總和 (SHA256) 以及憑證的公開金鑰；
• 執行掃描的軟體元件的識別碼；
• 病毒資料庫的 ID 以及這些病毒資料庫中的記錄的 ID；
• 有關電腦上的軟體啟動的資訊：來自啟動服務的已簽章票證頭（區域啟動中心的識別碼、啟動碼的核對總和、票證的核對總和、票證建立日期、票證的唯一識別碼、票證版本、產品授權狀態、票證有效期的開始/結束日期和時間、產品授權的唯一識別碼、產品授權版本），用於對票證頭簽章的憑證的識別碼，金鑰檔案的核對總和 (MD5)；
• 有關權利所有人的軟體的資訊：完整版本，類型，用於連線到 Kaspersky 服務的協定的版本。

經產品授權在 5 台或更多電腦上使用 KSN

同意卡巴斯基安全網路聲明，表示您同意自動傳送以下資訊：

如果選中“卡巴斯基安全網路”核取方塊並且清除“啟用延伸 KSN 模式”核取方塊，則應用程式會傳送以下資訊：

• 有關 KSN 配置更新的資訊：活動配置的識別碼、收到的配置的識別碼、配置更新的錯誤代碼；
• 有關要掃描的檔案和 URL 位址的資訊：所掃描檔案的核對總和 (MD5、SHA2-256、SHA1) 和檔案模式 (MD5)，模式大小，偵測到的威脅的類型及其在權利所有人分類中的名稱，病毒資料庫的識別碼，其信譽被請求的 URL 位址，以及引用頁 URL 位址，連線協定的識別碼和使用的連接埠號；
• 偵測到威脅的掃描工作的 ID；
• 有關需要用來驗證真實性的數位憑證的資訊：用於對掃描的物件進行簽章的憑證的核對總和 (SHA256) 以及憑證的公開金鑰；
• 執行掃描的軟體元件的識別碼；
• 病毒資料庫的 ID 以及這些病毒資料庫中的記錄的 ID；
• 有關電腦上的軟體啟動的資訊：來自啟動服務的已簽章票證頭（區域啟動中心的識別碼、啟動碼的核對總和、票證的核對總和、票證建立日期、票證的唯一識別碼、票證版本、產品授權狀態、票證有效期的開始/結束日期和時間、產品授權的唯一識別碼、產品授權版本），用於對票證頭簽章的憑證的識別碼，金鑰檔案的核對總和 (MD5)；
• 有關權利所有人的軟體的資訊：完整版本，類型，用於連線到 Kaspersky 服務的協定的版本。

如果除了“卡巴斯基安全網路“核取方塊之外，還選擇了“啟用延伸 KSN 模式”核取方塊，則除了上面列出的資訊之外，應用程式還會傳送以下資訊：

• 有關對請求的包含主機的被處理 URL 和 IP 位址的 Web 資源進行分類的結果的資訊，執行分類的軟體元件的版本，分類方法，以及針對 Web 資源定義的類別集；
• 有關電腦上安裝的軟體的資訊：軟體應用程式和軟體供應商的名稱，登錄機碼及其值，已安裝的軟體元件的檔案資訊（核對總和（MD5、SHA2-256、SHA1）、名稱、檔案在電腦上的路徑、大小、版本和數位簽章）；
• 有關電腦的病毒防護狀態的資訊：正在使用的病毒資料庫的版本和發行時間戳記，工作的 ID 和執行掃描的軟體的 ID；
• 有關最終使用者正在下載的檔案的資訊：下載的檔案和下載頁的 URL 和 IP 位址，下載協議識別碼和連線連接埠號，表示 URL 是否為惡意的狀態，檔案的屬性、大小和核對總和（MD5、SHA2-256、SHA1），下載檔案的處理程序的相關資訊（核對總和（MD5、SHA2-256、SHA1）、建立/構建日期和時間、自動執行狀態、內容、封裝程式的名稱、簽章資訊、可執行檔標誌、格式識別碼和熵），檔案名稱及其在電腦上的路徑，檔案的數位簽章及其產生時的時間戳記，發生偵測的 URL 位址，頁面上看上去可疑或有害的指令碼的編號，有關產生的 HTTP 請求以及對它們的回應的資訊；
• 有關正在執行的應用程式及其模組的資訊：系統中正在執行的處理程序的資料（處理程序 ID (PID)，處理程序名稱，有關啟動處理程序的帳戶的資訊，啟動處理程序的應用程式和指令，受信任程式或處理程序的標誌，處理程序檔案的完整路徑及其核對總和（MD5、SHA2-256、SHA1），啟動命令列，處理程序完整性等級，處理程序所屬產品的敘述（產品名稱和發佈者詳細資訊），以及所使用的數位憑證和驗證它們的真實性所需的資訊或者關於是否缺少檔案數位簽章的資訊），以及有關載入到處理程序中的模組的資訊（模組的名稱、大小、類型、建立日期、內容、核對總和（MD5、SHA2-256、SHA1）以及在電腦上的路徑），PE 檔案頭資訊，封裝程式的名稱（如果檔案已封裝）；
• 有關所有潛在惡意物件和活動的資訊：偵測到的物件的名稱，電腦上物件的完整路徑，所處理檔案的核對總和（MD5、SHA2-256、SHA1），偵測日期和時間，感染檔案的名稱、大小和路徑，路徑範本代碼，可執行檔標誌，表示物件是否為容器的指示器，封裝程式名稱（如果檔案已封裝），檔案類型代碼，檔案格式 ID，惡意軟體執行的操作清單以及軟體和使用者針對其做出的回應決策，病毒資料庫的 ID 和這些病毒資料庫中用於制定決策的記錄的 ID，潛在惡意物件的指示器，偵測到的威脅在權利所有人分類中的名稱，危險等級，偵測狀態和偵測方法，包含在已分析上下文中的原因及上下文中檔案的序號，核對總和（MD5、SHA2-256、SHA1），用於傳送感染訊息或連結的應用程式的可執行檔的名稱和內容，被封鎖物件的主機的去個性化 IP 位址（IPv4 和 IPv6），檔案熵，檔案自動執行指示器，在系統中首次偵測到檔案的時間，上次傳送統計資訊後檔案被執行的次數，透過其收到惡意物件的郵件用戶端的名稱、核對總和（MD5、SHA2-256、SHA1）和大小，執行掃描的軟體工作的 ID，表示檔案信譽或簽章是否經過檢查的指示器，檔案處理結果，為物件收集的模式的核對總和 (MD5)，模式大小（以位元組為單位），以及使用的偵測技術的技術規格；
• 有關掃描的物件的資訊：檔案移入或移出的指定信任群組，將檔案移入該類別的理由，類別識別碼，有關類別源的資訊和類別資料庫版本，檔案的受信任憑證標誌，檔案的供應商名稱，檔案版本，包含該檔案的軟體應用程式的名稱和版本；
• 有關偵測到的弱點的資訊：弱點資料庫中的弱點 ID，弱點危險等級；
• 有關可執行檔類比的資訊：檔案大小及其核對總和（MD5、SHA2-256、SHA1），模擬元件的版本，模擬深度，類比過程中獲得的邏輯塊內的一系列內容和函數，可執行檔的 PE 頭中的資料；
• 發起攻擊的電腦的 IP 位址（IPv4 和 IPv6），被當作網路攻擊目的的電腦連接埠號，包含攻擊的 IP 封包的協定的識別碼，攻擊目的（組織名稱、網站），攻擊響應標記，攻擊的權重，信任等級；
• 有關與欺詐網路資源相關的攻擊的資訊，所存取網站的 DNS 和 IP 位址（IPv4 和 IPv6）；
• 請求的 Web 資源的 DNS 和 IP 位址（IPv4 或 IPv6），有關存取該 Web 資源的檔案和 Web 用戶端的資訊，檔案的名稱、大小和核對總和（MD5、SHA2-256、SHA1），檔案的完整路徑和路徑範本代碼，檢查其數位簽章的結果，及其在 KSN 中的狀態；
• 有關惡意軟體操作回溯的資訊：有關其活動被回溯的檔案的資料（檔案名稱、檔案的完整路徑、檔案的大小和核對總和（MD5、SHA2-256、SHA1）），有關刪除、重命名和複製檔案以及還原登錄檔中的值（登錄機碼的指令和值）的成功和失敗操作的資料，有關惡意軟體修改的系統檔案的資訊（回溯前後）；
• 有關為適應性異常控制元件設定的排除項目的資訊：觸發的規則的 ID 和狀態，觸發規則時軟體執行的操作，處理程序或執行緒執行可疑活動時所用的使用者帳戶的類型，有關執行可疑活動或受可疑活動支配的處理程序的資訊（指令碼 ID 或處理程序檔案名稱，處理程序檔案的完整路徑，路徑範本代碼，處理程序檔案的總和檢查碼（MD5、SHA2-256、SHA1））；有關執行了可疑操作的物件的資訊以及受可疑活動支配的物件的資訊（登錄機碼名稱或檔案名稱，檔案的完整路徑，路徑範本代碼和檔案的總和檢查碼（MD5、SHA2-256、SHA1））。
• 有關載入的軟體模組的資訊：模組檔案的名稱、大小和核對總和（MD5、SHA2-256、SHA1），模組檔案的完整路徑和路徑範本代碼，模組檔案的數位簽章設定，簽章建立資料和時間，為模組檔案簽章的主體和組織的名稱，載入模組的處理程序的 ID，模組供應商的名稱，以及載入佇列中模組的序號；
• 有關軟體與 KSN 服務的互動品質的資訊：產生統計資訊的時間段的開始和結束日期及時間，有關對所用的每個 KSN 服務的請求和連線的品質的資訊（KSN 服務 ID，成功請求數量，含有來自快取的回應的請求數量，不成功請求數量（網路問題、軟體設定中停用 KSN、路由不正確），成功請求的時間分佈，取消的請求的時間分佈，超出時間限制的請求的時間分佈，與取自快取的 KSN 的連線數，與 KSN 的成功連線數，與 KSN 的不成功連線數，成功事務數，不成功事務數，與 KSN 的成功連線的時間分佈，與 KSN 的不成功連線的時間分佈，成功事務的時間分佈，不成功事務的時間分佈）；
• 如果偵測到潛在惡意物件，將提供處理程序的記憶體中的資料的相關資訊：系統物件階層架構 (ObjectManager) 的元素、UEFI BIOS 記憶體中的資料、登錄機碼的名稱及其值；
• 有關系統記錄中的事件的資訊：事件的時間戳記，在其中發現事件的記錄的名稱，事件的類型和類別，事件來源的名稱和事件的敘述；
• 有關網路連線的資訊：啟動了開啟連接埠的處理程序的檔案的版本和核對總和（MD5、SHA2-256、SHA1），處理程序檔案的路徑和數位簽章，本機和遠程 IP 位址，本機和遠程連線連接埠號，連線狀態，連接埠開啟時間戳記；
• 有關在電腦上安裝和啟動軟體的日期的資訊：出售產品授權的合作夥伴的 ID，產品授權的序列號，來自啟動服務的票證的簽章標頭（區域啟動中心的 ID，啟動碼的總和檢查碼，票證的總和檢查碼，票證的建立日期，票證的唯一 ID，票證版本，產品授權狀態，票證的開始/結束日期和時間，產品授權的唯一 ID，產品授權版本），用於簽署票頭的憑證的 ID，密鑰檔案的總和檢查碼（MD5），電腦上軟體安裝的唯一ID，要更新的應用程式的類型和 Id，更新工作的 ID；
• 有關所有已安裝的更新集的資訊以及最近安裝/刪除的更新集的資訊，導致傳送更新資訊的事件的類型，上次安裝更新後經過的時間，有關任何目前已安裝的病毒資料庫的資訊；
• 有關電腦上的軟體執行的資訊：CPU 使用率資料，記憶體使用率資料（專用位元組，未分頁緩衝集區，分頁緩衝集區），軟體處理程序中的活動執行緒數和掛起執行緒數，以及錯誤發生前的軟體執行時間；
• 自軟體安裝以來和上次更新以來軟體轉儲和系統轉儲 (BSOD) 的次數，當機的軟體模組的識別碼和版本，軟體處理程序中的記憶體堆疊，以及當機時的病毒資料庫的相關資訊；
• 有關系統轉儲 (BSOD) 的資料：指示電腦上發生 BSOD 的標誌，導致 BSOD 的驅動程式的名稱，驅動程式中的位址和記憶體堆疊，指示發生 BSOD 之前作業系統連線持續時間的標誌，當機的驅動程式的記憶體堆疊、儲存的記憶體傾印的類型，指示 BSOD 之前作業系統連線持續 10 分鐘以上的標誌、轉儲的唯一識別碼，BSOD 的時間戳記；
• 有關軟體元件執行期間出現的錯誤或效能問題的資訊：軟體的狀態 ID，錯誤類型，代碼和原因以及發生錯誤的時間，元件的 ID，出現錯誤的產品的元件、模組和處理程序的 ID，出現錯誤的工作或更新類別的 ID，軟體使用的驅動程式的記錄（錯誤代碼、模組名稱、原始檔案的名稱和出現錯誤的列）；
• 有關病毒資料庫和軟體元件更新的資訊：在上次更新過程中下載以及目前更新過程中正在下載的索引檔案的名稱、日期和時間；
• 有關軟體操作異常終止的資訊：轉儲的建立時間戳記、類型，導致軟體操作異常終止的事件的類型（意外斷電、協力廠商應用程式當機），意外斷電的日期和時間；
• 有關軟體驅動程式與硬體和軟體的相容性的資訊：有關限制軟體元件功能的作業系統內容的資訊（安全啟動、KPTI、WHQL 強制、BitLocker、區分大小寫），安裝的下載軟體的類型（UEFI、BIOS），受信任平台模組 (TPM) 識別碼，TPM 規範版本，有關電腦上安裝的 CPU 的資訊，代碼完整性和 Device Guard 的執行模式和參數，驅動程式的執行模式和使用目前模式的原因，軟體驅動程式的版本，電腦的軟體和硬體虛擬化支援狀態；
• 有關導致出錯的協力廠商應用程式的資訊：應用程式名稱、版本和中文化，系統應用程式記錄中關於該錯誤的錯誤代碼和資訊，發生錯誤的位址和協力廠商應用程式的記憶體堆疊，指示軟體元件中出現錯誤的標誌，出錯之前協力廠商應用程式的執行時長，出錯的應用程式處理程序映射的核對總和（MD5、SHA2-256、SHA1），應用程式處理程序映射的路徑和路徑範本代碼，系統記錄中與該應用程式相關的錯誤說明資訊，發生錯誤的應用程式模組的相關資訊（異常識別碼，應用程式模組中偏移量形式的當機記憶體位址，模組的名稱和版本，權利所有人外掛程式中的應用程式當機識別碼以及當機的記憶體堆疊，當機之前應用程式工作階段的持續時間）；
• 軟體更新程式元件的版本，在元件的生命週期內執行更新工作時更新程式元件當機的次數，更新工作類型的 ID，更新程式元件完成更新工作的失敗嘗試次數；
• 有關軟體系統監控元件執行的資訊：元件的完整版本，啟動元件時的日期和時間，溢出事件佇列的事件的代碼及此類事件的數量，佇列溢出事件的總數，有關事件的發起程式的處理程序的檔案的資訊（檔案名稱及其在電腦上的路徑、檔案路徑的範本代碼、與檔案關聯的處理程序的核對總和（MD5、SHA2-256、SHA1）、檔案版本），發生的事件攔截的識別碼，攔截篩選器的完整版本，攔截的事件的類型的識別碼，事件佇列的大小和佇列中第一個事件與目前事件之間的事件數量，佇列中過期事件的數量，有關目前事件的發起程式處理程序的檔案的資訊（檔案名稱及其在電腦上的路徑，檔案路徑的範本代碼，與檔案關聯的處理程序的核對總和（MD5、SHA2-256、SHA1）），事件處理持續時間，事件處理最大持續時間，傳送統計資訊的概率，有關超過處理時間限制的作業系統事件的資訊（事件的日期和時間，病毒資料庫的重複初始化次數，病毒資料庫更新後最近一次重複初始化的日期和時間，每個系統監控元件的事件處理延遲時間，排隊的事件數量，已處理的事件數量，目前類型的延遲事件數量，目前類型的事件的總延遲時間，所有事件的總延遲時間）；
• 發生軟體效能問題時來自 Windows 事件追蹤工具（Event Tracing for Windows，ETW）的資訊，來自 Microsoft 的 SysConfig / SysConfigEx / WinSATAssesssment 事件的提供者：有關電腦的資訊（型號，製造商，外殼的外形規格，版本） ，有關 Windows 效能指標的資訊（WinSAT 評估，Windows 效能指標），網域名稱，有關物理和邏輯處理器的資訊（物理和邏輯處理器的數量，製造商，型號，步進級別，核心數量，時鐘頻率，CPUID，快取）特性，邏輯處理器特性，支援的模式和指令的指示），有關 RAM 模組的資訊（類型，表單係數，製造商，型號，容量，記憶體分配的規模），有關網路介面的資訊（IP 和 MAC 位址，名稱，描述，網路介面的配置，按類型對網路套件的數量和大小進行的細分，網路交換速度，按類型對網路錯誤的數量進行的細分），IDE 控制器的配置，DNS 伺服器的 IP 位址，有關視訊卡的資訊（型號，描述，製造商，相容性，視訊記憶體容量，熒幕權限，每像素位元數，BIOS 版本），有關即插即用裝置的資訊（名稱，描述，裝置識別碼 [PnP，ACPI]，有關磁碟和儲存裝置的資訊（磁碟或快閃磁碟機的數量，製造商，型號，磁碟容量，磁柱數，每個磁柱的磁道，每個磁道的磁區數，磁區容量，快取特性，序列號，分割數，SCSI 控制器的配置），有關邏輯磁碟的資訊（序列號，分割容量，磁碟區容量，磁碟區字母，分割類型，檔案系統類型，叢集數目，叢集大小，每個叢集的磁區數，空叢集和已佔用叢集的數目，可開機磁碟區的字母，與磁碟啟動相關的分割偏移位址），有關 BIOS 主機板的資訊（製造商，發布日期，版本），有關主機板的資訊（製造商，型號，類型），有關物理記憶體的資訊（共用和可用容量），有關作業系統服務的資訊（名稱，描述，狀態，標籤，有關處理程序的資訊 [名稱和 PID]，電腦的能耗參數，中斷控制器的配置，Windows 系統資料夾的路徑（Windows 和 System32），有關作業系統的資訊（版本，內部版本，發行日期，名稱） ，類型，安裝日期），頁面檔案的大小，有關監視器的資訊（數量，製造商，熒幕權限，分辨率容量，類型），有關視訊卡驅動的資訊（製造商，發布日期，版本）；
• 來自 ETW 的資訊，Microsoft 的 EventTrace/EventMetadata 事件的提供方：有關系統事件序列的資訊（類型、時間、日期、時區），帶追蹤結果的檔案中繼資料（名稱、結構、追蹤參數、按類型細分的偵錯運算元），有關作業系統的資訊（名稱、類型、版本、內部版本號、發佈日期、啟動時間）；
• 來自 ETW 的資訊，Microsoft 的處理程序/Microsoft Windows 核心處理程序/Microsoft Windows 核心處理器電源事件的提供方：有關已啟動和已完成處理程序的資訊（名稱、PID、啟動參數、命令列、返回代碼、電源管理參數、啟動和完成時間、存取權杖類型、SID、SessionID、已安裝的敘述符數），有關執行緒優先順序變化的資訊（TID、優先順序、時間），有關處理程序的磁碟操作的資訊（類型、時間、容量、編號），可用記憶體處理程序的結構和容量的變更歷程記錄；
• 來自 ETW 的資訊，Microsoft 的 StackWalk/Perfinfo 事件的提供方：有關效能計數器的資訊（單個程式碼片段的效能、函式呼叫的序列、PID、TID、ISR 和 DPC 的位址和內容）；
• 來自 ETW 的資訊，Microsoft 的 KernelTraceControl-Image ID 事件的提供方：有關可執行檔和動態庫的資訊（名稱、映射大小、完整路徑），有關 PDB 檔案的資訊（名稱、識別碼），可執行檔的 VERSIONINFO 資來源資料（名稱、敘述、建立者、當地語係化、應用程式版本和識別碼、檔案版本和識別碼）；
• 來自 ETW 的資訊，Microsoft 的 FileIo/DiskIo/映射/Windows 核心磁碟事件的提供方：有關檔案和磁碟操作的資訊（類型、容量、開始時間、完成時間、持續時間、完成狀態、PID、TID、驅動程式函式呼叫位址、I/O 請求封包 (IRP)、Windows 檔案物件內容），有關檔案和磁碟操作所涉及的檔案的資訊（名稱、版本、大小、完整路徑、內容、偏移、映射核對總和、開啟和存取選項）；
• 來自 ETW 的資訊，Microsoft 的 PageFault 事件的提供方：有關記憶體頁面存取錯誤的資訊（位址、時間、容量、PID、TID、Windows 檔案物件內容、記憶體分配參數）；
• 來自 ETW 的資訊，Microsoft 的執行緒事件的提供方：有關執行緒建立/完成的資訊，有關已啟動的執行緒的資訊（PID、TID、堆疊大小、CPU 資源的優先順序和分配、I/O 資源、執行緒間的記憶體頁面、堆疊位址、初始函數位址、執行緒環境塊 (TEB) 的位址、Windows 服務標籤）；
• 來自 ETW 的資訊，Microsoft 的 Windows 核心記憶體事件的提供方：有關記憶體管理操作的資訊（完成狀態、時間、數量、PID），記憶體分配結構（類型、容量、SessionID、PID）；
• 有關發生效能問題時軟體操作的資訊：軟體安裝識別碼，效能下降的類型和值，有關軟體內的事件序列的資訊（時間、時區、類型、完成狀態、軟體元件識別碼、軟體執行場景識別碼、TID、PID、函式呼叫位址），有關要檢查的網路連線的資訊（URL、連線方向、網路封包大小），有關 PDB 檔案的資訊（名稱、識別碼、可執行檔的映射大小），有關要檢查的檔案的資訊（名稱、完整路徑、核對總和），軟體效能監控參數；
• 有關作業系統上次重新啟動失敗的資訊：作業系統安裝以來重新啟動失敗的次數，系統轉儲資料（錯誤的代碼和參數，導致作業系統執行出錯的模組的名稱、版本和核對總和 (CRC32)，模組內偏移量形式的錯誤位址，系統轉儲的核對總和（MD5、SHA2-256、SHA1））；
• 驗證用於對檔案簽章的數位憑證的真實性所需的資訊：憑證的指紋，核對總和演算法，憑證的公開金鑰和序號，憑證頒發者的名稱，憑證驗證的結果和憑證的資料庫識別碼；
• 有關對軟體的自我防護執行攻擊的處理程序的資訊：處理程序檔案的名稱和大小，其核對總和（MD5、SHA2-256、SHA1），處理程序檔案的完整路徑和檔案路徑的範本代碼，建立/構建時間戳記，可執行檔標誌，處理程序檔案的內容，用於對處理程序檔案簽章的憑證的相關資訊，用於啟動處理程序的帳戶的代碼，為存取處理程序所執行的操作的 ID，用於執行操作的資源的類型（處理程序，檔案，登錄檔物件，FindWindow 搜尋函數），用於執行操作的資源的名稱，表示操作成功的標誌，處理程序檔案的狀態及其在 KSN 中的簽章；
• 權利所有人軟體的資訊：使用的軟體的完整版本、類型、當地語係化和操作狀態，已安裝的軟體元件的版本及其操作狀態，有關已安裝的軟體更新的資訊，TARGET 篩選器的值，用於連線到權利所有人的服務所使用協定的版本；
• 有關電腦上安裝的硬體的資訊：類型、名稱、型號名稱、固件版本、內建和所連線裝置的參數、帶有已安裝軟體的電腦的唯一識別碼；
• 有關作業系統和已安裝更新的版本的資訊，作業系統執行模式的字體大小、版本和參數，作業系統核心檔案的版本和總和檢查碼（MD5、SHA2-256、SHA1），以及作業系統啟動日期和時間；
• 可執行檔和非可執行檔，全部或部分；
• 電腦 RAM 的一部分；
• 作業系統引導過程中涉及的磁區；
• 網路流量封包；
• 包含可疑物件和惡意物件的網頁和電子郵件；
• WMI 儲存區的類別和類別執行個體的描述；
• 應用程式活動報告：
  • 傳送的檔案的名稱、大小和版本，其描述和總和檢查碼（MD5，SHA2-256，SHA1），檔案格式識別碼，檔案廠商的名稱，檔案所屬產品的名稱，到電腦上的檔案的完整路徑，路徑的範本代碼，檔案的建立和修改時間戳記；
  • 憑證有效期的開始和結束日期/時間（如果檔案具有數位簽章），簽章的日期和時間，憑證頒發者的名稱，有關憑證持有者的資訊，指紋，憑證的公鑰和適當算法，以及憑證序列號；
  • 執行處理程序的帳戶的名稱；
  • 執行處理程序的電腦名稱的總和檢查碼（MD5，SHA2-256，SHA1）；
  • 處理程序視窗的標題；
  • 病毒資料庫的識別碼，根據權利擁有人分類偵測到的威脅的名稱；
  • 有關已安裝的產品授權的資料，其識別碼、類型和到期日期；
  • 提供資訊時電腦的本機時間；
  • 處理程序存取的檔案的名稱和路徑；
  • 處理程序存取的登錄機碼的名稱及其值；
  • 處理程序存取的 URL 和 IP 位址；
  • 從中下載執行檔案的 URL 和 IP 位址。