Граф процессов

warning_green

Этого раздела нет в отчетах об анализе пакетов Android.

Раздел содержит информацию о том, какие процессы проявили вредоносную активность во время запуска файла на гостевой операционной системе. Информация представлена в виде интерактивного графа с поясняющим блоком для каждого процесса.

Чтобы открыть граф в новой вкладке браузера, нажмите заголовок Граф процессов. Чтобы увеличить или уменьшить масштаб, нажмите 07_OverPlus или 06_OverMinus. Вы также можете увеличить масштаб, дважды нажав граф.

Условные обозначения

Обозначение

Комментарий

08_Scale1_1

Степень вредоносности процесса или ресурса. Определяется по шкале от 0 до 100:

11_Scale2

Менее 20.

12_Scale2

Менее 40.

13_Scale2

Менее 60.

14_Scale2

Менее 80.

15_Scale2

Менее 100.

16_Process

Процесс. Цвет блока соответствует степени вредоносности процесса.

One_cloud

more_cloud

more_cloud_6

Сетевой ресурс, к которому осуществляется удаленный доступ. Цвет облака соответствует степени вредоносности ресурса.

Внутри облака указывается уровень протокола и IP-адрес удаленного ресурса.

Отображается 2 облака, если процесс подключается к ресурсу 2–5 раз. Отображается 3 облака, если процесс подключается 6 и более раз. В этих случаях внутри облака также указывается количество подключений.

i_start-process

Исходный файл. Значком помечается первый запущенный процесс.

i_detect-drweb

Известная угроза, содержащаяся в вирусных базах Dr.Web. Значком помечается процесс, в дампе которого обнаружена угроза.

red_gear

Известная угроза, содержащаяся в вирусных базах Dr.Web, обнаруженная в дампе подгружаемого модуля. Значком помечается процесс, в который подгружается вредоносный модуль. Если угрозы обнаружены и в дампах процесса, и в дампах модуля, процесс помечается только значком i_detect-drweb.

arr_process

Создание процесса.

arr_inzhect

Инжект в другой процесс.

arr_internet

Запрос в интернет.

arr_RPC

Запрос RPC.

Поясняющий блок

Нажмите блок процесса, чтобы вывести информацию о нем в поясняющий блок.

Параметры процессов

Параметр

Описание

PID

Уникальный идентификатор процесса.

Полный путь

Путь, по которому запускается процесс.

Параметры запуска

Особенные параметры запуска процесса. Необязательное поле.

Поведение

Правила, соответствующие меткам о подозрительном поведении процесса.

Посмотреть активность процесса

Ссылка на журнал API, данные в котором отфильтрованы по данному процессу. Подробнее об этом пункте можно узнать в разделе Журнал API.

Скачать дамп

Ссылка на загрузку дампа процесса.

Параметры сетевых ресурсов

Параметр

Описание

Адрес

IP-адрес сетевого ресурса.

Порт

Номер порта.

Уровень протокола

Уровень протокола сетевой модели OSI, использованный для передачи данных:

Транспортный.

Прикладной.

warning_green

Если анализатор не смог распознать протокол прикладного уровня, в этом пункте появится следующая информация:

Прикладной: UNK

Нераспознанные данные:
{16,03,01,00,41,45…06,00,13,00,00,63,01,00}

Запрос

DNS-запрос. Этот пункт отображается, если Уровень протокола определен как Прикладной: DNS.

URL

URL-запрос. Этот пункт отображается, если Уровень протокола определен как Прикладной: HTTP.