有关“模块已加载”事件的信息
有关“模块已加载”事件的信息
显示模块已加载事件信息的窗口包含以下详细信息:
- 事件树。
- 事件处理建议。
- 模块已加载部分:
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的,则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。
如果在创建事件时触发了 TAA (IOA) 规则,则会显示该字段。
- 文件 — 加载的模块文件的名称。
- MD5 — 加载的模块文件的 MD5 哈希。
- SHA256 — 加载的模块文件的 SHA256 哈希。
- 大小 — 加载的模块的大小。
- 事件时间 — 加载模块的时间。
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
- 详细信息部分:
- 应用程序名称 — 例如,操作系统的名称。
- 供应商 — 例如,操作系统的供应商。
- 文件描述 — 例如,示例文件。
- 原始文件名 — 例如,示例文件。
- 签名主题 — 颁发文件数字证书的组织。
- 签名验证结果 — 例如,“签名无效”或“签名正常”。
- 创建时间 — 加载的模块的创建时间。
- 修改时间 — 加载的模块的上次修改日期。
- 旁路路径中的下一个 DLL — 该字段包含可以加载的 DLL 库的路径,而不是现有库的路径。
如果满足以下条件,则显示该字段:
- 加载的 DLL 的来源不受信任。
- 标准搜索路径中的文件夹包含具有相同名称但不同哈希值的库。
如果您使用 Kaspersky Endpoint Agent 作为 Endpoint Agent 组件,则仅当 Kaspersky Anti Targeted Attack Platform 与 Kaspersky Endpoint Agent 3.10 for Windows 集成时,Kaspersky Anti Targeted Attack Platform 才会收到填充旁路路径中的下一个 DLL字段所需的数据。当应用程序与旧版本的 Kaspersky Endpoint Agent 应用程序集成时,该字段不会显示在事件信息中。
- 事件发起者部分:
- 文件 — 父进程文件的路径。
- MD5 — 父进程文件的 MD5 哈希。
- SHA256 — 父进程文件的 SHA256 哈希。
- 系统信息部分:
- 主机名称 — 加载了模块的主机的名称。
- 主机 IP — 加载了模块的主机的 IP 地址。
如果您使用动态 IP 地址,该字段将显示创建事件时分配给主机的 IP 地址。
该应用程序不支持 IPv6。如果您使用 IPv6,则不会显示主机的 IP 地址。
- 用户名称 — 加载了模块的用户的名称。
- 操作系统版本— 主机上使用的操作系统版本。
单击模块已加载部分中包含文件名或文件路径的链接将打开一个列表,您可以在其中选择以下操作之一:
单击事件发起者部分中包含文件名或文件路径的链接将打开一个列表,您可以在其中选择以下操作之一:
单击具有主机名的链接将打开一个列表,您可以从其中选择以下操作之一:
单击 MD5 链接将打开一个列表,您可以从其中选择以下操作之一:
- 查找事件。
- 查找警报。
- 在 Kaspersky TIP 上查找。
- 在存储中查找。
- 创建防止规则。
- 复制值到剪贴板。
单击 SHA256 链接将打开一个列表,您可以从其中选择以下操作之一:
- 查找事件。
- 查找警报。
- 在 Kaspersky TIP 上查找。
- 在 virustotal.com 上查找。
- 在存储中查找。
- 创建防止规则。
- 复制值到剪贴板。
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.