Используйте этот параметр, если нужно отправить файл в сервис на анализ под другим именем. При этом исходный файл с прежним именем перезаписан не будет.
•Использовать VNC
Использование VNC-клиента удобно, если вы выбрали более одной операционной системы и хотите влиять на процесс анализа в каждой из них.
Для активации функции установите флажок Использовать VNC. После запуска анализа автоматически открываются дополнительные вкладки браузера. Вкладки подключаются к соответствующим виртуальным машинам через VNC-клиент. На каждой вкладке в верхней части расположен индикатор выполнения. Индикатор показывает процент завершения и текущее состояние анализа.
Несмотря на то что вкладки в браузере создаются сразу, может потребоваться некоторое время, чтобы подключиться к виртуальным машинам.
|
Если вы не выбрали этот пункт в окне Дополнительные настройки и начали анализ, нажмите Использовать VNC на странице анализа. VNC-клиент откроется в новой вкладке. |
•Отслеживать все процессы при использовании VNC
По умолчанию этот параметр отключен и в отчет вносятся только те процессы, которые способствовали подозрительной активности.
•Показывать MITM-трафик
Установите этот флажок, чтобы разбирать зашифрованный трафик (доступно только для платформ Windows). По завершении анализа вы сможете просмотреть разобранный трафик. Для этого:
1.Откройте страницу отчета, созданного по результатам анализа.
2.Нажмите 
Скачать архив.
3.Распакуйте архив. Если потребуется, введите пароль, заданный в поле Пароль для архива отчета в окне Настройки. Пароль по умолчанию: vxcube.
4.Найдите в распакованном архиве файл network.pcapng и загрузите его в программу для анализа сетевого трафика (например, Wireshark).
•Время выполнения файла
По умолчанию время выполнения файла в Dr.Web vxCube — 1 минута. Если необходимо, вы можете сократить или увеличить это время для конкретного файла. Например, если файлу требуется больше времени, чтобы проявить подозрительное поведение, нужно увеличить значение этого параметра, передвинув ползунок вправо.
•Ограничение на общий размер созданных файлов
По умолчанию общий размер всех файлов, созданных во время анализа, не может превышать 64 МБ. Это предельное значение можно увеличить до 512 МБ.
•Задать команду для запуска файла
Эта функция позволяет задать команду запуска анализируемого файла. В качестве команды можно указывать любое приложение из стандартного пакета поставки Windows, например, rundll32.exe, regsvr32.exe, notepad.exe и др. Для использования команды необходимо в поле Задать команду для запуска файла указать требуемую команду.
С помощью специального параметра %SAMPLE% можно задать полный путь к анализируемому файлу.
Этот пункт можно использовать для запуска исполняемых файлов с вызовом специальной экспортируемой функции. Например: rundll32 %SAMPLE%, ExportedFunction.
По умолчанию используется VPN. Для некоторых типов подключения можно задать адрес прокси-сервера и параметры авторизации. Прокси используется только для TCP-подключений. Трафик других протоколов передается через VPN-сервер по умолчанию. Чтобы перенаправить UDP-трафик, установите флажок Перенаправлять UDP.
Рисунок 12. Дополнительные настройки
После установки необходимых дополнительных настроек
•Нажмите Анализировать, чтобы запустить анализ.
•Нажмите Отменить, чтобы сбросить настройки и закрыть окно.
|
Заданные дополнительные настройки применяются только к текущему файлу. Если вы закрыли окно Дополнительные настройки или выбрали другой файл для анализа, задайте дополнительные настройки снова. |