Приложение Б. Функции модуля dr

Описание функций для песочницы Android (категория andr)

Функция	Результат	Примеры
archive_file(regex)	Список файлов в архиве APK, соответствующих паттернам ARCHIVE_FILES_PATTERN = ['.dll', '.js', '.html', '.so'].	dr_sandbox.andr.archive_files(/pattern/)
archive_file_num	Список файлов в архиве APK, соответствующих паттернам ARCHIVE_FILES_PATTERN = ['.dll', '.js', '.html', '.so'].	dr_sandbox.andr.archive_files_num
certificate_sha1(regex)	Хеш SHA1 сертификата, которым подписано приложение.	dr_sandbox.andr.certificate_sha1(/pattern/)
certificate_sha1_num	Хеш SHA1 сертификата, которым подписано приложение.	dr_sandbox.andr.certificate_sha1_num
Подкатегория dynamic
created_files.path(regex)	Созданные файлы: путь.	dr_sandbox.andr.dynamic.created_files.path(/pattern/)
created_files.path_num	Созданные файлы: путь.	dr_sandbox.andr.dynamic.created_files.path_num
created_files.sha1(regex)	Созданные файлы: SHA1.	dr_sandbox.andr.dynamic.created_files.sha1(/pattern/)
created_files.sha1_num	Созданные файлы: SHA1.	dr_sandbox.andr.dynamic.created_files.sha1_num
crypto_dumps(regex)	Шифрованные дампы.	dr_sandbox.andr.dynamic.crypto_dumps(/pattern/)
crypto_dumps_num	Шифрованные дампы.	dr_sandbox.andr.dynamic.crypto_dumps_num
downloaders.detect(regex)	Cписок семплов, которые скачивают анализируемый семпл.	dr_sandbox.andr.dynamic.downloaders.detect(/pattern/)
downloaders.detect_num	Cписок семплов, которые скачивают анализируемый семпл.	dr_sandbox.andr.dynamic.downloaders.detect_num
downloaders.sha1(regex)	Cписок семплов, которые скачивают анализируемый семпл.	dr_sandbox.andr.dynamic.downloaders.sha1(/pattern/)
downloaders.sha1_num	Cписок семплов, которые скачивают анализируемый семпл.	dr_sandbox.andr.dynamic.downloaders.sha1_num
downloads.detect(regex)	Скачанные полезные данные (apk/dex).	dr_sandbox.andr.dynamic.downloads.detect(/pattern/)
downloads.detect_num	Скачанные полезные данные (apk/dex).	dr_sandbox.andr.dynamic.downloads.detect_num
downloads.sha1(regex)	Скачанные полезные данные (apk/dex).	dr_sandbox.andr.dynamic.downloads.sha1(/pattern/)
downloads.sha1_num	Скачанные полезные данные (apk/dex).	dr_sandbox.andr.dynamic.downloads.sha1_num
downloads.url(regex)	Скачанные полезные данные (apk/dex).	dr_sandbox.andr.dynamic.downloads.url(/pattern/)
downloads.url_num	Скачанные полезные данные (apk/dex).	dr_sandbox.andr.dynamic.downloads.url_num
droppers.detect(regex)	Список семплов, которые загружают анализируемый семпл.	dr_sandbox.andr.dynamic.droppers.detect(/pattern/)
droppers.detect_num	Список семплов, которые загружают анализируемый семпл.	dr_sandbox.andr.dynamic.droppers.detect_num
droppers.sha1(regex)	Список семплов, которые загружают анализируемый семпл.	dr_sandbox.andr.dynamic.droppers.sha1(/pattern/)
droppers.sha1_num	Список семплов, которые загружают анализируемый семпл.	dr_sandbox.andr.dynamic.droppers.sha1_num
dumps.detect(regex)	Дамп полезных данных: детект.	dr_sandbox.andr.dynamic.dumps.detect(/pattern/)
dumps.detect_num	Дамп полезных данных: детект.	dr_sandbox.andr.dynamic.dumps.detect_num
dumps.path(regex)	Дамп полезных данных: путь.	dr_sandbox.andr.dynamic.dumps.path(/pattern/)
dumps.path_num	Дамп полезных данных: путь.	dr_sandbox.andr.dynamic.dumps.path_num
dumps.sha1(regex)	Дамп полезных данных: хеш SHA1.	dr_sandbox.andr.dynamic.dumps.sha1(/pattern/)
dumps.sha1_num	Дамп полезных данных: хеш SHA1.	dr_sandbox.andr.dynamic.dumps.sha1_num
executed_commands(regex)	Запущенные shell-команды.	dr_sandbox.andr.dynamic.executed_commands(/pattern/)
executed_commands_num	Запущенные shell-команды.	dr_sandbox.andr.dynamic.executed_commands_num
flags(regex)	Флаги поведения.	dr_sandbox.andr.dynamic.flags(/pattern/)
flags_num	Флаги поведения.	dr_sandbox.andr.dynamic.flags_num
phone_calls(regex)	Совершенные телефонные вызовы.	dr_sandbox.andr.dynamic.phone_calls(/pattern/)
phone_calls_num	Совершенные телефонные вызовы.	dr_sandbox.andr.dynamic.phone_calls_num
sms.message(regex)	Отправленные СМС: текст сообщения.	dr_sandbox.andr.dynamic.sms.message(/pattern/)
sms.message_num	Отправленные СМС: текст сообщения.	dr_sandbox.andr.dynamic.sms.message_num
sms.number(regex)	Отправленные СМС: телефонный номер.	dr_sandbox.andr.dynamic.sms.number(/pattern/)
sms.number_num	Отправленные СМС: телефонный номер.	dr_sandbox.andr.dynamic.sms.number_num
urls(regex)	Найденные URL-адреса. Учитываются только адреса, удовлетворяющие регулярному выражению.	dr_sandbox.andr.dynamic.urls(/pattern/)
urls_num	Найденные URL-адреса.	dr_sandbox.andr.dynamic.urls_num
Подкатегория manifest
activities(regex)	Список активностей (экранов) приложения.	dr_sandbox.andr.manifest.activities(/pattern/)
activities_num	Список всех активностей (экранов) приложения.	dr_sandbox.andr.manifest.activities_num
app_name(regex)	Имя приложения на устройстве.	dr_sandbox.andr.manifest.app_name(/pattern/)
app_name_num	Имя приложения на устройстве.	dr_sandbox.andr.manifest.app_name_num
filters(regex)	Список действий из манифеста.	dr_sandbox.andr.manifest.filters(/pattern/)
filters_num	Список действий из манифеста.	dr_sandbox.andr.manifest.filters_num
home_activity(regex)	Активность, точка входа в приложение.	dr_sandbox.andr.manifest.home_activity(/pattern/)
home_activity_num	Активность, точка входа в приложение.	dr_sandbox.andr.manifest.home_activity_num
is_firmware(regex)	Приложение из прошивки или нет.	dr_sandbox.andr.manifest.is_firmware(/pattern/)
is_firmware_num	Приложение из прошивки или нет.	dr_sandbox.andr.manifest.is_firmware_num
main_activity(regex)	Главная активность, точка входа в приложение.	dr_sandbox.andr.manifest.main_activity(/pattern/)
main_activity_num	Главная активность, точка входа в приложение.	dr_sandbox.andr.manifest.main_activity_num
meta_data.name(regex)	Метаданные: имя.	dr_sandbox.andr.manifest.meta_data.name(/pattern/)
meta_data.name_num	Метаданные: имя.	dr_sandbox.andr.manifest.meta_data.name_num
meta_data.resource(regex)	Метаданные: ресурс.	dr_sandbox.andr.manifest.meta_data.resource(/pattern/)
meta_data.resource_num	Метаданные: ресурс.	dr_sandbox.andr.manifest.meta_data.resource_num
meta_data.value(regex)	Метаданные: значение.	dr_sandbox.andr.manifest.meta_data.value(/pattern/)
meta_data.value_num	Метаданные: значение.	dr_sandbox.andr.manifest.meta_data.value_num
package(regex)	Имя пакета приложения.	dr_sandbox.andr.manifest.package(/pattern/)
package_num	Имя пакета приложения.	dr_sandbox.andr.manifest.package_num
permissions(regex)	Список требуемых приложением разрешений.	dr_sandbox.andr.manifest.permissions(/pattern/)
permissions_num	Список требуемых приложением разрешений.	dr_sandbox.andr.manifest.permissions_num
receivers(regex)	Список широковещательных приемников.	dr_sandbox.andr.manifest.receivers(/pattern/)
receivers_num	Список широковещательных приемников.	dr_sandbox.andr.manifest.receivers_num
services(regex)	Список сервисов приложения.	dr_sandbox.andr.manifest.services(/pattern/)
services_num	Список сервисов приложения.	dr_sandbox.andr.manifest.services_num
strings_resources(regex)	Список всех строковых ресурсов.	dr_sandbox.andr.manifest.strings_resources(/pattern/)
strings_resources_num	Список всех строковых ресурсов.	dr_sandbox.andr.manifest.strings_resources_num
version_code(regex)	Код версии.	dr_sandbox.andr.manifest.version_code(/pattern/)
version_code_num	Код версии.	dr_sandbox.andr.manifest.version_code_num
version_name(regex)	Имя версии.	dr_sandbox.andr.manifest.version_name(/pattern/)
version_name_num	Имя версии.	dr_sandbox.andr.manifest.version_name_num
resources_digests(regex)	Список SHA1-Digest файлов ресурсов APK.	dr_sandbox.andr.resources_digests(/pattern/)
resources_digests_num	Список SHA1-Digest файлов ресурсов APK.	dr_sandbox.andr.resources_digests_num
sha1(regex)	SHA1 семпла.	dr_sandbox.andr.sha1(/pattern/)
sha1_num	SHA1 семпла.	dr_sandbox.andr.sha1_num
source_host(regex)	Источник семпла.	dr_sandbox.andr.source_host(/pattern/)
source_host_num	Источник семпла.	dr_sandbox.andr.source_host_num

Описание функций для песочницы Windows (категория descr_tech)

Обеспечение автозапуска и распространения (категория autorun)

Функция	Результат	Тип события	Примеры
change_system_executable_files(regex)	Возвращает количество событий определенного типа.	Изменяет исполняемые системные файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.autorun.change_system_executable_files(/beep.sys/)
change_system_executable_files_num	Возвращает количество событий определенного типа.	Изменяет исполняемые системные файлы.	dr_sandbox.descr_tech.autorun.change_system_executable_files_num > 0
create_files_on_removable_media(regex)	Возвращает количество событий определенного типа.	Создает файлы на съемном носителе. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.autorun.create_files_on_removable_media(/10thingscondoms.pdf/)
create_files_on_removable_media_num	Возвращает количество событий определенного типа.	Создает файлы на съемном носителе.	dr_sandbox.descr_tech.autorun.create_files_on_removable_media_num > 0
create_or_modify_files(regex)	Возвращает количество событий определенного типа.	Создает или изменяет файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.autorun.create_or_modify_files(/YogaGuide.job/)
create_or_modify_files_num	Возвращает количество событий определенного типа.	Создает или изменяет файлы.	dr_sandbox.descr_tech.autorun.create_or_modify_files_num == 1
create_services(regex)	Возвращает количество событий определенного типа.	Создает сервисы. Учитываются только сервисы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.autorun.create_services(/rsdsys/)
create_services_num	Возвращает количество событий определенного типа.	Создает сервисы.	dr_sandbox.descr_tech.autorun.create_services_num > 0
infect_executables(regex)	Возвращает количество событий определенного типа.	Заражает исполняемые файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.autorun.infect_executables(/eirmayxm/)
infect_executables_num	Возвращает количество событий определенного типа.	Заражает исполняемые файлы.	dr_sandbox.descr_tech.autorun.infect_executables_num > 0
modify_mbr	Возвращает 1, если главная загрузочная запись (MBR) модифицирована, 0 — если нет.	Модифицирует главную загрузочную запись (MBR).	dr_sandbox.descr_tech.autorun.modify_mbr
modify_registry(regex)	Возвращает количество событий определенного типа.	Модифицирует ключи реестра. Учитываются только ключи, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.autorun.modify_registry(/C:\Users\user\AppData\Roaming\Sample.lnk/)
modify_registry_num	Возвращает количество событий определенного типа.	Модифицирует ключи реестра.	dr_sandbox.descr_tech.autorun.modify_registry_num >= 2
replace_system_executable_files(regex)	Возвращает количество событий определенного типа.	Подменяет исполняемые системные файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.autorun.replace_system_executable_files(/ir50_qc.dll/)
replace_system_executable_files_num	Возвращает количество событий определенного типа.	Подменяет исполняемые системные файлы.	dr_sandbox.descr_tech.autorun.replace_system_executable_files_num > 0

Изменения в файловой системе (категория filesystem)

Функция	Результат	Тип события	Примеры
change_user_data_extensions	Возвращает количество событий определенного типа.	Изменяет расширения файлов пользовательских данных (Trojan.Encoder).	dr_sandbox.descr_tech.filesystem.change_user_data_extensions
create_files(regex)	Возвращает количество событий определенного типа.	Создает файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.filesystem.create_files(/nsArray.dll/)
create_files_num	Возвращает количество событий определенного типа.	Создает файлы.	dr_sandbox.descr_tech.filesystem.create_files_num >= 2
create_ransom_message_files	Возвращает количество событий определенного типа.	Создает файлы с требованием оплатить расшифровку файлов (Trojan.Encoder).	dr_sandbox.descr_tech.filesystem.create_ransom_message_files
modify_hosts	Возвращает 1, если файл HOSTS изменен, 0 — если нет.	Изменяет файл HOSTS.	dr_sandbox.descr_tech.filesystem.modify_hosts
modify_user_data_files	Возвращает количество событий определенного типа.	Изменяет множество файлов пользовательских данных (Trojan.Encoder).	dr_sandbox.descr_tech.filesystem.modify_user_data_files
move_files(regex)	Возвращает количество событий определенного типа.	Перемещает файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.filesystem.move_files(/%WINDIR%.*CONFIG\security.config.cch/)
move_files_num	Возвращает количество событий определенного типа.	Перемещает файлы.	dr_sandbox.descr_tech.filesystem.move_files_num >= 2
move_self(regex)	Возвращает количество событий определенного типа.	Самоперемещается.	dr_sandbox.descr_tech.filesystem.move_self(/CreativeAudio/)
move_self_num	Возвращает количество событий определенного типа.	Самоперемещается.	dr_sandbox.descr_tech.filesystem.move_self_num >= 2
move_system_files(regex)	Возвращает количество событий определенного типа.	Перемещает системные файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.filesystem.move_system_files(/ir50_qc.dll/)
move_system_files_num	Возвращает количество событий определенного типа.	Перемещает системные файлы.	dr_sandbox.descr_tech.filesystem.move_system_files_num >= 2
remove_files(regex)	Возвращает количество событий определенного типа.	Удаляет файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.filesystem.remove_files(/^%TEMP%\7zS1.tmp\GOMPLAYERENSETUP.EXE$/)
remove_files_num	Возвращает количество событий определенного типа.	Удаляет файлы.	dr_sandbox.descr_tech.filesystem.remove_files_num >= 2
remove_self	Возвращает количество событий определенного типа.	Самоудаляется.	dr_sandbox.descr_tech.filesystem.remove_self
set_hidden(regex)	Возвращает количество событий определенного типа.	Присваивает атрибут «скрытый» для файлов. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.filesystem.set_hidden(/^%TEMP%\~2.cmd$/)
set_hidden_num	Возвращает количество событий определенного типа.	Присваивает атрибут «скрытый» для файлов.	dr_sandbox.descr_tech.filesystem.set_hidden_num >= 2
substitute_executables(regex)	Возвращает количество событий определенного типа.	Подменяет исполняемые файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.filesystem.substitute_executables(/pattern/)
substitute_executables_num	Возвращает количество событий определенного типа.	Подменяет исполняемые файлы.	dr_sandbox.descr_tech.filesystem.substitute_executables_num >= 2
substitute_files(regex)	Возвращает количество событий определенного типа.	Подменяет файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.filesystem.substitute_files(/pattern/)
substitute_files_num	Возвращает количество событий определенного типа.	Подменяет файлы.	dr_sandbox.descr_tech.filesystem.substitute_files_num >= 2
substitute_hosts	Возвращает количество событий определенного типа.	Подменяет файл HOSTS.	dr_sandbox.descr_tech.filesystem.substitute_hosts

Вредоносные функции (категория malicious)

Функция	Результат	Тип события	Примеры
add_antivirus_exclusion(regex)	Возвращает количество событий определенного типа.	Чтобы затруднить выявление своего присутствия в системе, добавляет исключения антивируса с помощью ключей реестра. Учитываются только ключи, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.add_antivirus_exclusion(/pattern/)
add_antivirus_exclusion_num	Возвращает количество событий определенного типа.	Чтобы затруднить выявление своего присутствия в системе, добавляет исключения антивируса с помощью ключей реестра.	dr_sandbox.descr_tech.malicious.add_antivirus_exclusion_num
block_cmd	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует запуск следующей системной утилиты: Интерпретатор командной строки (CMD).	dr_sandbox.descr_tech.malicious.block_cmd
block_regedit	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует запуск следующей системной утилиты: Редактор реестра (RegEdit).	dr_sandbox.descr_tech.malicious.block_regedit
block_system_file_checker	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует Средство проверки системных файлов (SFC).	dr_sandbox.descr_tech.malicious.block_system_file_checker
block_system_restore	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует Компонент восстановления системы (SR).	dr_sandbox.descr_tech.malicious.block_system_restore
block_taskmgr	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует запуск следующей системной утилиты: Диспетчер задач (Taskmgr).	dr_sandbox.descr_tech.malicious.block_taskmgr
block_user_account_control	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует Средство контроля пользовательских учетных записей (UAC).	dr_sandbox.descr_tech.malicious.block_user_account_control
block_windows_action_center	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует Центр поддержки Windows (Action Center).	dr_sandbox.descr_tech.malicious.block_windows_action_center
block_windows_defender	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует запуск следующей системной утилиты: Системный антивирус (Защитник Windows).	dr_sandbox.descr_tech.malicious.block_windows_defender
block_windows_file_protection	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует Систему защиты файлов операционной системы Windows (WFP).	dr_sandbox.descr_tech.malicious.block_windows_file_protection
block_windows_firewall	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует запуск следующей системной утилиты: Межсетевой экран (Брандмауэр Windows).	dr_sandbox.descr_tech.malicious.block_windows_firewall
block_windows_security_center	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует Центр обеспечения безопасности (Security Center).	dr_sandbox.descr_tech.malicious.block_windows_security_center
block_windows_updates	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует запуск следующей системной утилиты: Обновления системы (Windows Update).	dr_sandbox.descr_tech.malicious.block_windows_updates
bruteforce_os_accounts	Возвращает 1, если событие произошло, 0 — если нет.	Перебирает пароли аккаунтов ОС.	dr_sandbox.descr_tech.malicious.bruteforce_os_accounts
create_and_exec(regex)	Возвращает количество событий определенного типа.	Создает и запускает на исполнение. Учитываются только объекты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.create_and_exec(/Total Commander/)
create_and_exec_num	Возвращает количество событий определенного типа.	Создает и запускает на исполнение.	dr_sandbox.descr_tech.malicious.create_and_exec_num > 0
create_onion_service	Возвращает количество событий определенного типа.	Создает onion-сервис.	dr_sandbox.descr_tech.malicious.create_onion_service
delete_volume_shadow_copies	Возвращает количество событий определенного типа.	Для затруднения выявления своего присутствия в системе удаляет теневые копии разделов.	dr_sandbox.descr_tech.malicious.delete_volume_shadow_copies
detect_virtual_machine(regex)	Возвращает количество событий определенного типа.	Ищет окна с целью обнаружения виртуальных машин. Учитываются только объекты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.detect_virtual_machine(/pattern/)
detect_virtual_machine_num	Возвращает количество событий определенного типа.	Ищет окна с целью обнаружения виртуальных машин.	dr_sandbox.descr_tech.malicious.detect_virtual_machine_num
disable_amsi	Возвращает количество событий определенного типа.	Отключает AMSI.	dr_sandbox.descr_tech.malicious.disable_amsi
downloads_and_executes(regex)	Возвращает количество событий определенного типа.	Загружает и запускает на исполнение. Учитываются только объекты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.downloads_and_executes(/pattern/)
downloads_and_executes_num	Возвращает количество событий определенного типа.	Загружает и запускает на исполнение.	dr_sandbox.descr_tech.malicious.downloads_and_executes_num
downloads_and_executes_files	Возвращает количество событий определенного типа.	Загружает и запускает на исполнение файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.downloads_and_executes_files
download_file(regex)	Возвращает количество событий определенного типа.	Загружает файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.download_file(/pattern/)
download_file_num	Возвращает количество событий определенного типа.	Загружает файлы.	dr_sandbox.descr_tech.malicious.download_file_num
download_files	Возвращает 1, если событие произошло, 0 — если нет.	Загружает файлы.	dr_sandbox.descr_tech.malicious.download_files
exec(regex)	Возвращает количество событий определенного типа.	Запускает на исполнение. Учитываются только объекты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.exec(/netsh.exe/)
exec_num	Возвращает количество событий определенного типа.	Запускает на исполнение.	dr_sandbox.descr_tech.malicious.exec_num > 0
exec_wmi(regex)	Возвращает количество событий определенного типа.	Выполняет операции WMI. Учитываются только операции, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.exec_wmi(/pattern/)
exec_wmi_num	Возвращает количество событий определенного типа.	Выполняет операции WMI.	dr_sandbox.descr_tech.malicious.exec_wmi_num
exploit_create_and_exec(regex)	Возвращает количество событий определенного типа.	Создает и запускает на исполнение (эксплойт). Учитываются только объекты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.exploit_create_and_exec(/pattern/)
exploit_create_and_exec_num	Возвращает количество событий определенного типа.	Создает и запускает на исполнение (эксплойт).	dr_sandbox.descr_tech.malicious.exploit_create_and_exec_num
exploit_create_and_load_library(regex)	Возвращает количество событий определенного типа.	Создает и загружает библиотеки (эксплойт). Учитываются только библиотеки, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.exploit_create_and_load_library(/pattern/)
exploit_create_and_load_library_num	Возвращает количество событий определенного типа.	Создает и загружает библиотеки (эксплойт).	dr_sandbox.descr_tech.malicious.exploit_create_and_load_library_num
exploit_exec(regex)	Возвращает количество событий определенного типа.	Запускает на исполнение (эксплойт). Учитываются только объекты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.exploit_exec(/pattern/)
exploit_exec_num	Возвращает количество событий определенного типа.	Запускает на исполнение (эксплойт).	dr_sandbox.descr_tech.malicious.exploit_exec_num
force_autorun_for_removable_media	Возвращает 1, если событие произошло, 0 — если нет.	Принудительно разрешает автозапуск со съемных носителей.	dr_sandbox.descr_tech.malicious.force_autorun_for_removable_media
hide_from_view_file_extensions	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует отображение расширений файлов.	dr_sandbox.descr_tech.malicious.hide_from_view_file_extensions
hide_from_view_hidden_files	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе блокирует отображение скрытых файлов.	dr_sandbox.descr_tech.malicious.hide_from_view_hidden_files
hide_processes(regex)	Возвращает количество событий определенного типа.	Скрывает процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.hide_processes(/cscript.exe/)
hide_processes_num	Возвращает количество событий определенного типа.	Скрывает процессы.	dr_sandbox.descr_tech.malicious.hide_processes_num > 0
hide_taskbar_notifications	Возвращает 1, если событие произошло, 0 — если нет.	Для затруднения выявления своего присутствия в системе отключает уведомления панели задач.	dr_sandbox.descr_tech.malicious.hide_taskbar_notifications
hook_in_browser(regex)	Возвращает количество событий определенного типа.	Перехватывает функции в браузерах. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.hook_in_browser(/pattern/)
hook_in_browser_num	Возвращает количество событий определенного типа.	Перехватывает функции в браузерах.	dr_sandbox.descr_tech.malicious.hook_in_browser_num
hook_keyboard_all_processes(regex)	Возвращает количество событий определенного типа.	Устанавливает процедуры перехвата сообщений о нажатии клавиш клавиатуры: Библиотека-обработчик для всех процессов: (?LibraryPath).	dr_sandbox.descr_tech.malicious.hook_keyboard_all_processes(/OQKWHP\BJX.01/)
hook_keyboard_all_processes_num	Возвращает количество событий определенного типа.	Устанавливает процедуры перехвата сообщений о нажатии клавиш клавиатуры.	dr_sandbox.descr_tech.malicious.hook_keyboard_all_processes_num > 0
hook_keyboard_concrete_processes(regex)	Возвращает количество событий определенного типа.	Устанавливает процедуры перехвата сообщений о нажатии клавиш клавиатуры: Библиотека-обработчик для процесса '(?HookedProcess.Name)': (?LibraryPath).	dr_sandbox.descr_tech.malicious.hook_keyboard_concrete_processes(/IMDCSC.exe/)
hook_keyboard_concrete_processes_num	Возвращает количество событий определенного типа.	Устанавливает процедуры перехвата сообщений о нажатии клавиш клавиатуры.	dr_sandbox.descr_tech.malicious.hook_keyboard_concrete_processes_num > 0
hook_keyboard_on_window_messages(regex)	Возвращает количество событий определенного типа.	Устанавливает процедуры перехвата оконных сообщений. Учитываются только объекты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.hook_keyboard_on_window_messages(/pattern/)
hook_keyboard_on_window_messages_num	Возвращает количество событий определенного типа.	Устанавливает процедуры перехвата оконных сообщений.	dr_sandbox.descr_tech.malicious.hook_keyboard_on_window_messages_num
inject_to_a_lot_of_user_processes	Возвращает 1, если событие произошло, 0 — если нет.	Внедряет код в большое количество пользовательских процессов.	dr_sandbox.descr_tech.malicious.inject_to_a_lot_of_user_processes
inject_to_system_proc(regex)	Возвращает количество событий определенного типа.	Внедряет код в системные процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.inject_to_system_proc(/RegAsm.exe/)
inject_to_system_proc_num	Возвращает количество событий определенного типа.	Внедряет код в системные процессы.	dr_sandbox.descr_tech.malicious.inject_to_system_proc_num > 0
inject_to_user_proc(regex)	Возвращает количество событий определенного типа.	Внедряет код в пользовательские процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.inject_to_user_proc(/^iexplore.exe$/)
inject_to_user_proc_num	Возвращает количество событий определенного типа.	Внедряет код в пользовательские процессы.	dr_sandbox.descr_tech.malicious.inject_to_user_proc_num > 0
modify_explorer_settings(regex)	Возвращает количество событий определенного типа.	Изменяет настройки проводника Windows (Windows Explorer). Учитываются только настройки, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.modify_explorer_settings(/’NoFolderOptions’ = ‘00000001’/)
modify_explorer_settings_num	Возвращает количество событий определенного типа.	Изменяет настройки проводника Windows (Windows Explorer).	dr_sandbox.descr_tech.malicious.modify_explorer_settings_num > 0
modify_ie_settings(regex)	Возвращает количество событий определенного типа.	Изменяет настройки браузера Windows Internet Explorer. Учитываются только настройки, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.modify_ie_settings(/Zones\1] ‘1206’ = ‘00000000’/)
modify_ie_settings_num	Возвращает количество событий определенного типа.	Изменяет настройки браузера Windows Internet Explorer.	dr_sandbox.descr_tech.malicious.modify_ie_settings_num > 0
modify_registry_to_bypass_firewall(regex)	Возвращает количество событий определенного типа.	Для обхода брандмауэра удаляет или модифицирует определенные ключи реестра. Учитываются только ключи, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.modify_registry_to_bypass_firewall(/Enabled:taskmg.exe/)
modify_registry_to_bypass_firewall_num	Возвращает количество событий определенного типа.	Для обхода брандмауэра удаляет или модифицирует определенные ключи реестра.	dr_sandbox.descr_tech.malicious.modify_registry_to_bypass_firewall_num > 0
modify_system_dns(regex)	Возвращает количество событий определенного типа.	Для затруднения выявления своего присутствия в системе изменяет DNS-серверы. Учитываются только серверы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.modify_system_dns(/pattern/)
modify_system_dns_num	Возвращает количество событий определенного типа.	Для затруднения выявления своего присутствия в системе изменяет DNS-серверы.	dr_sandbox.descr_tech.malicious.modify_system_dns_num
modify_system_settings(regex)	Возвращает количество событий определенного типа.	Для затруднения выявления своего присутствия в системе изменяет системные настройки. Учитываются только настройки, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.modify_system_settings(/pattern/)
modify_system_settings_num	Возвращает количество событий определенного типа.	Для затруднения выявления своего присутствия в системе изменяет системные настройки.	dr_sandbox.descr_tech.malicious.modify_system_settings_num
read_third_party_passwords(regex)	Возвращает количество событий определенного типа.	Читает файлы, отвечающие за хранение паролей сторонними программами. Учитываются только объекты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.read_third_party_passwords(/pattern/)
read_third_party_passwords_num	Возвращает количество событий определенного типа.	Читает файлы, отвечающие за хранение паролей сторонними программами.	dr_sandbox.descr_tech.malicious.read_third_party_passwords_num
register_bho(regex)	Возвращает количество событий определенного типа.	Регистрирует BHO. Учитываются только объекты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.register_bho(/pattern/)
register_com_server(regex)	Возвращает количество событий определенного типа.	Регистрирует COM-сервер. Учитываются только объекты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.register_com_server(/pattern/)
register_com_server_num	Возвращает количество событий определенного типа.	Регистрирует COM-сервер.	dr_sandbox.descr_tech.malicious.register_com_server_num
register_filesystem_filter(regex)	Возвращает количество событий определенного типа.	Регистрирует фильтр файловой системы. Учитываются только объекты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.register_filesystem_filter(/pattern/)
restore_ssdt_hooks	Возвращает 1, если событие произошло, 0 — если нет.	Устраняет перехваты функций в SSDT (System Service Descriptor Table).	dr_sandbox.descr_tech.malicious.restore_ssdt_hooks
search_password_in_registry(regex)	Возвращает количество событий определенного типа.	Ищет ветки реестра, отвечающие за хранение паролей сторонними программами. Учитываются только ветки, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.search_password_in_registry(/MessengerService/)
search_password_in_registry_num	Возвращает количество событий определенного типа.	Ищет ветки реестра, отвечающие за хранение паролей сторонними программами.	dr_sandbox.descr_tech.malicious.search_password_in_registry_num > 0
search_wnd_for_analyzing_soft(regex)	Возвращает количество событий определенного типа.	Ищет окна с целью обнаружения утилит для анализа. Учитываются только окна, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.search_wnd_for_analyzing_soft(/PEiD/)
search_wnd_for_analyzing_soft_num	Возвращает количество событий определенного типа.	Ищет окна с целью обнаружения утилит для анализа.	dr_sandbox.descr_tech.malicious.search_wnd_for_analyzing_soft_num > 0
search_wnd_for_programs_and_games(regex)	Возвращает количество событий определенного типа.	Ищет окна с целью обнаружения различных программ и игр. Учитываются только окна, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.search_wnd_for_programs_and_games(/The Wireshark Network Analyzer/)
search_wnd_for_programs_and_games_num	Возвращает количество событий определенного типа.	Ищет окна с целью обнаружения различных программ и игр.	dr_sandbox.descr_tech.malicious.search_wnd_for_programs_and_games_num > 0
search_wnd_to_bypass_av(regex)	Возвращает количество событий определенного типа.	Ищет окна с целью обхода различных антивирусов. Учитываются только окна, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.search_wnd_to_bypass_av(/AVP.AlertDialog/)
search_wnd_to_bypass_av_num	Возвращает количество событий определенного типа.	Ищет окна с целью обхода различных антивирусов.	dr_sandbox.descr_tech.malicious.search_wnd_to_bypass_av_num > 0
search_wnd_to_bypass_wfp(regex)	Возвращает количество событий определенного типа.	Ищет окна с целью обхода системы защиты файлов Windows (WFP). Учитываются только окна, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.search_wnd_to_bypass_wfp(/Windows File Protection/)
search_wnd_to_bypass_wfp_num	Возвращает количество событий определенного типа.	Ищет окна с целью обхода системы защиты файлов Windows (WFP).	dr_sandbox.descr_tech.malicious.search_wnd_to_bypass_wfp_num > 0
set_concrete_ssdt_hooks(regex)	Возвращает количество событий определенного типа.	Перехватывает функции в SSDT (System Service Descriptor Table). Учитываются только функции, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.set_concrete_ssdt_hooks(/pattern/)
set_concrete_ssdt_hooks_num	Возвращает количество событий определенного типа.	Перехватывает функции в SSDT (System Service Descriptor Table).	dr_sandbox.descr_tech.malicious.set_concrete_ssdt_hooks_num
set_homepage_for_ie	Возвращает 1, если событие произошло, 0 — если нет.	Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.	dr_sandbox.descr_tech.malicious.set_homepage_for_ie
set_ssdt_hooks	Возвращает количество событий определенного типа.	Перехватывает функции в SSDT (System Service Descriptor Table).	dr_sandbox.descr_tech.malicious.set_ssdt_hooks
try_to_terminate_a_lot_of_user_processes	Возвращает 1, если событие произошло, 0 — если нет.	Завершает или пытается завершить большое количество пользовательских процессов.	dr_sandbox.descr_tech.malicious.try_to_terminate_a_lot_of_user_processes
try_to_terminate_system_processes(regex)	Возвращает количество событий определенного типа.	Завершает или пытается завершить системные процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.try_to_terminate_system_processes(/ctfmon.exe/)
try_to_terminate_system_processes_num	Возвращает количество событий определенного типа.	Завершает или пытается завершить системные процессы.	dr_sandbox.descr_tech.malicious.try_to_terminate_system_processes_num > 0
try_to_terminate_user_processes(regex)	Возвращает количество событий определенного типа.	Завершает или пытается завершить пользовательские процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.malicious.try_to_terminate_user_processes(/^AVSYNMGR.EXE$/)
try_to_terminate_user_processes_num	Возвращает количество событий определенного типа.	Завершает или пытается завершить пользовательские процессы.	dr_sandbox.descr_tech.malicious.try_to_terminate_user_processes_num > 0

Другое (категория miscellaneous)

Функция	Результат	Тип события	Примеры
add_root_certificate	Возвращает 1, если сертификат добавлен, 0 — если нет.	Добавляет корневой сертификат.	dr_sandbox.descr_tech.miscellaneous.add_root_certificate
create_and_exec	Возвращает 1, если событие произошло, 0 — если нет.	Создает и запускает на исполнение (со скрытым окном).	dr_sandbox.descr_tech.miscellaneous.create_and_exec
disable_certificate	Возвращает 1, если событие произошло, 0 — если нет.	Отключает сертификат.	dr_sandbox.descr_tech.miscellaneous.disable_certificate
exec(regex)	Возвращает количество событий определенного типа.	Запускает на исполнение. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.miscellaneous.exec(/pattern/)
load_driver(regex)	Возвращает количество событий определенного типа.	Загружает драйверы. Учитываются только драйверы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.miscellaneous.load_driver(/pattern/)
load_driver_num	Возвращает количество событий определенного типа.	Загружает драйверы.	dr_sandbox.descr_tech.miscellaneous.load_driver_num
modify_auto_config_url(regex)	Возвращает количество событий определенного типа.	Изменяет значение AutoConfigURL на новое. Учитываются только новые значения, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.miscellaneous.modify_auto_config_url(/pattern/)
search_wnd(regex)	Возвращает количество событий определенного типа.	Ищет окна. Учитываются только окна, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech.miscellaneous.search_wnd(/MS_WebcheckMonitor/)
search_wnd_num	Возвращает количество событий определенного типа.	Ищет окна.	dr_sandbox.descr_tech.miscellaneous.search_wnd_num == 3
shut_down_windows	Возвращает 1, если событие произошло, 0 — если нет.	Пытается завершить работу операционной системы Windows.	dr_sandbox.descr_tech.miscellaneous.shut_down_windows
use_ntfs_data_streams	Возвращает 1, если событие произошло, 0 — если нет.	Использует альтернативные потоки данных NTFS.	dr_sandbox.descr_tech.miscellaneous.use_ntfs_data_streams

Сетевая активность (категория network)

Функция	Результат	Тип события	Примеры
connect_to(regex)	Возвращает количество событий определенного типа.	Подключается к перечисленному в регулярном выражении.	dr_sandbox.descr_tech.network.connect_to(/www.xfo.cn/)
connect_to_num	Возвращает количество событий определенного типа.	Подключается.	dr_sandbox.descr_tech.network.connect_to_num >= 2
tcp(regex)	Возвращает количество событий определенного типа.	Запросы через TCP.	dr_sandbox.descr_tech.network.tcp(/pattern/)
tcp_num	Возвращает количество событий определенного типа.	Запросы через TCP.	dr_sandbox.descr_tech.network.tcp_num
tcp_http_get(regex)	Возвращает количество событий определенного типа.	Запросы HTTP GET через TCP.	dr_sandbox.descr_tech.network.tcp_http_get(/addurl.html$/)
tcp_http_get_num	Возвращает количество событий определенного типа.	Запросы HTTP GET через TCP.	dr_sandbox.descr_tech.network.tcp_http_get_num >= 2
tcp_http_post(regex)	Возвращает количество событий определенного типа.	Запросы HTTP POST через TCP.	dr_sandbox.descr_tech.network.tcp_http_post(/addurl.html$/)
tcp_http_post_num	Возвращает количество событий определенного типа.	Запросы HTTP POST через TCP.	dr_sandbox.descr_tech.network.tcp_http_post_num >= 2
tcp_http_unk(regex)	Возвращает количество событий определенного типа.	Запросы HTTP неизвестного формата.	dr_sandbox.descr_tech.network.tcp_http_unk(/pattern/)
tcp_http_unk_num	Возвращает количество событий определенного типа.	Запросы HTTP неизвестного формата.	dr_sandbox.descr_tech.network.tcp_http_unk_num
udp(regex)	Возвращает количество событий определенного типа.	Запросы через UDP.	dr_sandbox.descr_tech.network.udp(/disk57/)
udp_num	Возвращает количество событий определенного типа.	Запросы через UDP.	dr_sandbox.descr_tech.network.udp_num >= 2

Описание функций для песочницы Linux (категория descr_tech_lbcl)

Обеспечение автозапуска и распространения (категория autorun)

Функция	Результат	Тип события	Примеры
create_or_modify_files(regex)	Возвращает количество событий определенного типа.	Создает или изменяет файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.autorun.create_or_modify_files(/pattern/)
create_or_modify_files_num	Возвращает количество событий определенного типа.	Создает или изменяет файлы.	dr_sandbox.descr_tech_lbcl.autorun.create_or_modify_files_num
create_or_modify_symlinks(regex)	Возвращает количество событий определенного типа.	Создает или изменяет символические ссылки. Учитываются только ссылки, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.autorun.create_or_modify_symlinks(/pattern/)
create_or_modify_symlinks_num	Возвращает количество событий определенного типа.	Создает или изменяет символические ссылки.	dr_sandbox.descr_tech_lbcl.autorun.create_or_modify_symlinks_num

Изменения в файловой системе (категория filesystem)

Функция	Результат	Тип события	Примеры
change_time_of_file(regex)	Возвращает количество событий определенного типа.	Изменяет время создания, доступа, модификации файлов. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.filesystem.change_time_of_file(/pattern/)
change_time_of_file_num	Возвращает количество событий определенного типа.	Изменяет время создания, доступа, модификации файлов.	dr_sandbox.descr_tech_lbcl.filesystem.change_time_of_file_num
create_dir(regex)	Возвращает количество событий определенного типа.	Создает каталоги. Учитываются только каталоги, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.filesystem.create_dir(/pattern/)
create_dir_num	Возвращает количество событий определенного типа.	Создает каталоги.	dr_sandbox.descr_tech_lbcl.filesystem.create_dir_num
create_or_modify_file(regex)	Возвращает количество событий определенного типа.	Создает или изменяет файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.filesystem.create_or_modify_file(/pattern/)
create_or_modify_file_num	Возвращает количество событий определенного типа.	Создает или изменяет файлы.	dr_sandbox.descr_tech_lbcl.filesystem.create_or_modify_file_num
create_symlink(regex)	Возвращает количество событий определенного типа.	Создает символические ссылки.	dr_sandbox.descr_tech_lbcl.filesystem.create_symlink(/pattern/)
create_symlink_num	Возвращает количество событий определенного типа.	Учитываются только ссылки, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.filesystem.create_symlink_num
lock_file(regex)	Возвращает количество событий определенного типа.	Блокирует файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.filesystem.lock_file(/pattern/)
lock_file_num	Возвращает количество событий определенного типа.	Блокирует файлы.	dr_sandbox.descr_tech_lbcl.filesystem.lock_file_num
modify_file_access_rights(regex)	Возвращает количество событий определенного типа.	Изменяет права доступа к файлам.	dr_sandbox.descr_tech_lbcl.filesystem.modify_file_access_rights(/pattern/)
modify_file_access_rights_num	Возвращает количество событий определенного типа.	Изменяет права доступа к файлам.	dr_sandbox.descr_tech_lbcl.filesystem.modify_file_access_rights_num
modify_file_owner(regex)	Возвращает количество событий определенного типа.	Изменяет владельца файлов.	dr_sandbox.descr_tech_lbcl.filesystem.modify_file_owner(/pattern/)
modify_file_owner_num	Возвращает количество событий определенного типа.	Изменяет владельца файлов.	dr_sandbox.descr_tech_lbcl.filesystem.modify_file_owner_num
mount_file_system(regex)	Возвращает количество событий определенного типа.	Монтирует файловые системы. Учитываются только системы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.filesystem.mount_file_system(/pattern/)
mount_file_system_num	Возвращает количество событий определенного типа.	Монтирует файловые системы.	dr_sandbox.descr_tech_lbcl.filesystem.mount_file_system_num
remove_dir(regex)	Возвращает количество событий определенного типа.	Удаляет каталоги. Учитываются только каталоги, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.filesystem.remove_dir(/pattern/)
remove_dir_num	Возвращает количество событий определенного типа.	Удаляет каталоги.	dr_sandbox.descr_tech_lbcl.filesystem.remove_dir_num
remove_file(regex)	Возвращает количество событий определенного типа.	Удаляет файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.filesystem.remove_file(/pattern/)
remove_file_num	Возвращает количество событий определенного типа.	Удаляет файлы.	dr_sandbox.descr_tech_lbcl.filesystem.remove_file_num
unmount_file_system(regex)	Возвращает количество событий определенного типа.	Демонтирует файловые системы. Учитываются только системы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.filesystem.unmount_file_system(/pattern/)
unmount_file_system_num	Возвращает количество событий определенного типа.	Демонтирует файловые системы.	dr_sandbox.descr_tech_lbcl.filesystem.unmount_file_system_num

Вредоносные функции (категория malicious)

Функция	Результат	Тип события	Примеры
attempt_kill_system_proc(regex)	Возвращает количество событий определенного типа.	Пытается завершить системные процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.attempt_kill_system_proc(/pattern/)
attempt_kill_system_proc_num	Возвращает количество событий определенного типа.	Пытается завершить системные процессы.	dr_sandbox.descr_tech_lbcl.malicious.attempt_kill_system_proc_num
attept_kill_analyzers(regex)	Возвращает количество событий определенного типа.	Пытается завершить приложения-анализаторы. Учитываются только приложения, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.attept_kill_analyzers(/pattern/)
attept_kill_analyzers_num	Возвращает количество событий определенного типа.	Пытается завершить приложения-анализаторы.	dr_sandbox.descr_tech_lbcl.malicious.attept_kill_analyzers_num
attept_kill_proc(regex)	Возвращает количество событий определенного типа.	Пытается завершить процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.attept_kill_proc(/pattern/)
attept_kill_proc_num	Возвращает количество событий определенного типа.	Пытается завершить процессы.	dr_sandbox.descr_tech_lbcl.malicious.attept_kill_proc_num
compile_program_from_source_codes(regex)	Возвращает количество событий определенного типа.	Компилирует исходный код.	dr_sandbox.descr_tech_lbcl.malicious.compile_program_from_source_codes(/pattern/)
compile_program_from_source_codes_num	Возвращает количество событий определенного типа.	Компилирует исходный код.	dr_sandbox.descr_tech_lbcl.malicious.compile_program_from_source_codes_num
gain_root_privileges	Возвращает количество событий определенного типа.	Получает права суперпользователя (root).	dr_sandbox.descr_tech_lbcl.malicious.gain_root_privileges
get_access_to_ssh_keys	Возвращает количество событий определенного типа.	Получает доступ к ключам SSH.	dr_sandbox.descr_tech_lbcl.malicious.get_access_to_ssh_keys
inject_to_proc(regex)	Возвращает количество событий определенного типа.	Встраивается в процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.inject_to_proc(/pattern/)
inject_to_proc_num	Возвращает количество событий определенного типа.	Встраивается в процессы.	dr_sandbox.descr_tech_lbcl.malicious.inject_to_proc_num
kill_analyzers(regex)	Возвращает количество событий определенного типа.	Завершает приложения-анализаторы. Учитываются только приложения, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.kill_analyzers(/pattern/)
kill_analyzers_num	Возвращает количество событий определенного типа.	Завершает приложения-анализаторы.	dr_sandbox.descr_tech_lbcl.malicious.kill_analyzers_num
kill_proc(regex)	Возвращает количество событий определенного типа.	Завершает процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.kill_proc(/pattern/)
kill_proc_num	Возвращает количество событий определенного типа.	Завершает процессы.	dr_sandbox.descr_tech_lbcl.malicious.kill_proc_num
kill_system_proc(regex)	Возвращает количество событий определенного типа.	Завершает системные процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.kill_system_proc(/pattern/)
kill_system_proc_num	Возвращает количество событий определенного типа.	Завершает системные процессы.	dr_sandbox.descr_tech_lbcl.malicious.kill_system_proc_num
launch_itself_as_daemon	Возвращает количество событий определенного типа.	Запускает себя как управляющую программу.	dr_sandbox.descr_tech_lbcl.malicious.launch_itself_as_daemon
launch_processes(regex)	Возвращает количество событий определенного типа.	Запускает процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.launch_processes(/pattern/)
launch_processes_num	Возвращает количество событий определенного типа.	Запускает процессы.	dr_sandbox.descr_tech_lbcl.malicious.launch_processes_num
manage_services(regex)	Возвращает количество событий определенного типа.	Управляет службами. Учитываются только службы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.manage_services(/pattern/)
manage_services_num	Возвращает количество событий определенного типа.	Управляет службами.	dr_sandbox.descr_tech_lbcl.malicious.manage_services_num
modify_firewall_settings(regex)	Возвращает количество событий определенного типа.	Изменяет настройки брандмауэра. Учитываются только настройки, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.modify_firewall_settings(/pattern/)
modify_firewall_settings_num	Возвращает количество событий определенного типа.	Изменяет настройки брандмауэра.	dr_sandbox.descr_tech_lbcl.malicious.modify_firewall_settings_num
modify_router_settings(regex)	Возвращает количество событий определенного типа.	Изменяет настройки маршрутизатора. Учитываются только настройки, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.modify_router_settings(/pattern/)
modify_router_settings_num	Возвращает количество событий определенного типа.	Изменяет настройки маршрутизатора.	dr_sandbox.descr_tech_lbcl.malicious.modify_router_settings_num
operate_kernel_modules(regex)	Возвращает количество событий определенного типа.	Использует модули ядра.	dr_sandbox.descr_tech_lbcl.malicious.operate_kernel_modules(/pattern/)
operate_kernel_modules_num	Возвращает количество событий определенного типа.	Использует модули ядра.	dr_sandbox.descr_tech_lbcl.malicious.operate_kernel_modules_num
perform_process_tracing(regex)	Возвращает количество событий определенного типа.	Отслеживает процессы. Учитываются только процессы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.perform_process_tracing(/pattern/)
perform_process_tracing_num	Возвращает количество событий определенного типа.	Отслеживает процессы.	dr_sandbox.descr_tech_lbcl.malicious.perform_process_tracing_num
remove_self	Возвращает количество событий определенного типа.	Самоудаляется.	dr_sandbox.descr_tech_lbcl.malicious.remove_self
remove_system_files(regex)	Возвращает количество событий определенного типа.	Удаляет системные файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.remove_system_files(/pattern/)
remove_system_files_num	Возвращает количество событий определенного типа.	Удаляет системные файлы.	dr_sandbox.descr_tech_lbcl.malicious.remove_system_files_num
replace_system_files(regex)	Возвращает количество событий определенного типа.	Заменяет системные файлы. Учитываются только файлы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.replace_system_files(/pattern/)
replace_system_files_num	Возвращает количество событий определенного типа.	Заменяет системные файлы.	dr_sandbox.descr_tech_lbcl.malicious.replace_system_files_num
stops_system_services(regex)	Возвращает количество событий определенного типа.	Останавливает системные службы. Учитываются только службы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.malicious.stops_system_services(/pattern/)
stops_system_services_num	Возвращает количество событий определенного типа.	Останавливает системные службы.	dr_sandbox.descr_tech_lbcl.malicious.stops_system_services_num
substitute_application_name_for(regex)	Возвращает количество событий определенного типа.	Подменяет имя приложения.	dr_sandbox.descr_tech_lbcl.malicious.substitute_application_name_for(/pattern/)
substitute_application_name_for_num	Возвращает количество событий определенного типа.	Подменяет имя приложения.	dr_sandbox.descr_tech_lbcl.malicious.substitute_application_name_for_num

Сетевая активность (категория network)

Функция	Результат	Тип события	Примеры
attack_bruteforce_via_ssh	Возвращает количество событий определенного типа.	Проводит атаку перебором по SSH.	dr_sandbox.descr_tech_lbcl.network.attack_bruteforce_via_ssh
attack_bruteforce_via_telnet	Возвращает количество событий определенного типа.	Проводит атаку перебором по TELNET.	dr_sandbox.descr_tech_lbcl.network.attack_bruteforce_via_telnet
attack_bruteforce_via_unk_protocol	Возвращает количество событий определенного типа.	Проводит атаку перебором по неизвестному протоколу.	dr_sandbox.descr_tech_lbcl.network.attack_bruteforce_via_unk_protocol
connect_to(regex)	Возвращает количество событий определенного типа.	Подключается к серверам. Учитываются только серверы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.network.connect_to(/pattern/)
connect_to_num	Возвращает количество событий определенного типа.	Подключается к серверам.	dr_sandbox.descr_tech_lbcl.network.connect_to_num
connect_to_irc(regex)	Возвращает количество событий определенного типа.	Подключается к серверам по протоколу IRC. Учитываются только серверы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.network.connect_to_irc(/pattern/)
dns_ask(regex)	Возвращает количество событий определенного типа.	DNS-запросы.	dr_sandbox.descr_tech_lbcl.network.dns_ask(/pattern/)
dns_ask_num	Возвращает количество событий определенного типа.	DNS-запросы.	dr_sandbox.descr_tech_lbcl.network.dns_ask_num
http_get(regex)	Возвращает количество событий определенного типа.	Запросы HTTP GET.	dr_sandbox.descr_tech_lbcl.network.http_get(/pattern/)
http_get_num	Возвращает количество событий определенного типа.	Запросы HTTP GET.	dr_sandbox.descr_tech_lbcl.network.http_get_num
http_other(regex)	Возвращает количество событий определенного типа.	Другие запросы HTTP.	dr_sandbox.descr_tech_lbcl.network.http_other(/pattern/)
http_other_num	Возвращает количество событий определенного типа.	Другие запросы HTTP.	dr_sandbox.descr_tech_lbcl.network.http_other_num
http_post(regex)	Возвращает количество событий определенного типа.	Запросы HTTP POST.	dr_sandbox.descr_tech_lbcl.network.http_post(/pattern/)
http_post_num	Возвращает количество событий определенного типа.	Запросы HTTP POST.	dr_sandbox.descr_tech_lbcl.network.http_post_num
listening_port(regex)	Возвращает количество событий определенного типа.	Ждет входящие подключения на портах. Учитываются только порты, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.network.listening_port(/pattern/)
listening_port_num	Возвращает количество событий определенного типа.	Ждет входящие подключения на портах.	dr_sandbox.descr_tech_lbcl.network.listening_port_num
receive_data_from_server(regex)	Возвращает количество событий определенного типа.	Получает данные с серверов. Учитываются только серверы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.network.receive_data_from_server(/pattern/)
receive_data_from_server_num	Возвращает количество событий определенного типа.	Получает данные с серверов.	dr_sandbox.descr_tech_lbcl.network.receive_data_from_server_num
send_data_to_server(regex)	Возвращает количество событий определенного типа.	Отправляет данные на серверы. Учитываются только серверы, удовлетворяющие регулярному выражению.	dr_sandbox.descr_tech_lbcl.network.send_data_to_server(/pattern/)
send_data_to_server_num	Возвращает количество событий определенного типа.	Отправляет данные на серверы.	dr_sandbox.descr_tech_lbcl.network.send_data_to_server_num

Другое (категория other)

Функция	Результат	Тип события	Примеры
collect_cpu_info	Возвращает количество событий определенного типа.	Собирает информацию о ЦП.	dr_sandbox.descr_tech_lbcl.other.collect_cpu_info
collect_network_info	Возвращает количество событий определенного типа.	Собирает информацию о сетевой активности.	dr_sandbox.descr_tech_lbcl.other.collect_network_info
collect_os_info	Возвращает количество событий определенного типа.	Собирает информацию об ОС.	dr_sandbox.descr_tech_lbcl.other.collect_os_info
collect_ram_info	Возвращает количество событий определенного типа.	Собирает информацию о RAM.	dr_sandbox.descr_tech_lbcl.other.collect_ram_info
read_info_from_proc_kallsyms	Возвращает количество событий определенного типа.	Читает информацию из /proc/kallsyms.	dr_sandbox.descr_tech_lbcl.other.read_info_from_proc_kallsyms

Описание функций для детектов (категория detects)

Функция	Результат	Тип события	Примеры
all_detects_here(regexp)	Возвращает количество событий определенного типа.	Все детекты.	dr_sandbox.detects.all_detects_here(/Virlock/)
all_detects_here_num	Возвращает количество событий определенного типа.	Все детекты.	dr_sandbox.detects.all_detects_here_num
detects_of_allocs(regexp)	Возвращает количество событий определенного типа.	Детекты файлов alloc.	dr_sandbox.detects.detects_of_allocs(/Virlock/)
detects_of_allocs_num	Возвращает количество событий определенного типа.	Детекты файлов alloc.	dr_sandbox.detects.detects_of_allocs_num
detects_of_drops(regexp)	Возвращает количество событий определенного типа.	Детекты дропов.	dr_sandbox.detects.detects_of_drops(/Virlock/)
detects_of_drops_num	Возвращает количество событий определенного типа.	Детекты дропов.	dr_sandbox.detects.detects_of_drops_num
detects_of_dumps(regexp)	Возвращает количество событий определенного типа.	Детекты дампов.	dr_sandbox.detects.detects_of_dumps(/Virlock/)
detects_of_dumps_num	Возвращает количество событий определенного типа.	Детекты дампов.	dr_sandbox.detects.detects_of_dumps_num
detects_of_injects(regexp)	Возвращает количество событий определенного типа.	Детекты инжектов.	dr_sandbox.detects.detects_of_injects(/Virlock/)
detects_of_injects_num	Возвращает количество событий определенного типа.	Детекты инжектов.	dr_sandbox.detects.detects_of_injects_num
detects_of_src(regexp)	Возвращает количество событий определенного типа.	Детекты файлов src.	dr_sandbox.detects.detects_of_src(/Virlock/)
detects_of_src_num	Возвращает количество событий определенного типа.	Детекты файлов src.	dr_sandbox.detects.detects_of_src_num

Прочие функции

Функция	Описание	Примеры
check_buffer(offset, buffer_asciihex_value)	Проверяет буфер asciihex по заданному смещению. Длина должна быть четной. Может использоваться вместо строк, чтобы не замедлять сканирование. Возвращает 1, если строка найдена, в противном случае — 0.	dr_sandbox.check_buffer(0,"4d5A")
check_byte(offset, byte_value)	Проверяет байты по заданному смещению. Может использоваться вместо строк, чтобы не замедлять сканирование. Возвращает 1, если значение в байтах найдено, в противном случае — 0.	dr_sandbox.check_byte(0,0x4d)
check_dword(offset, dword_value)	Проверяет DWORD по заданному смещению. Может использоваться вместо строк, чтобы не замедлять сканирование. Возвращает 1, если значение DWORD найдено, в противном случае — 0.	dr_sandbox.check_dword(0,0x00905A4D)
check_word(offset, word_value)	Проверяет WORD по заданному смещению. Может использоваться вместо строк, чтобы не замедлять сканирование. Возвращает 1, если значение WORD найдено, в противном случае — 0.	dr_sandbox.check_word(0,0x5a4d)
ci_any(string)	Возвращает 1, если строка символов ASCII или wide, нечувствительная к регистру, найдена, в противном случае — 0.	dr_sandbox.ci_any("string")
ci_any_num(string)	Возвращает количество найденных строк символов ASCII или wide, нечувствительных к регистру.	dr_sandbox.ci_any_num("string")
ci_ascii(string)	Возвращает 1, если строка символов ASCII, нечувствительная к регистру, найдена, в противном случае — 0.	dr_sandbox.ci_ascii("string")
ci_ascii_num(string)	Возвращает количество найденных строк символов ASCII, нечувствительных к регистру.	dr_sandbox.ci_ascii_num("string")
ci_wide(string)	Возвращает 1, если строка символов wide, нечувствительная к регистру, найдена, в противном случае — 0.	dr_sandbox.ci_wide("string")
ci_wide_num(string)	Возвращает количество найденных строк символов wide, нечувствительных к регистру.	dr_sandbox.ci_wide_num("string")
ci_xor(string)	Возвращает 1, если нечувствительная к регистру 1-байтовая строка символов ASCII, к которой применена операция XOR, найдена, в противном случае — 0.	dr_sandbox.ci_xor("string")
ci_xor_num(string)	Возвращает количество найденных нечувствительных к регистру 1-байтовых строк символов ASCII, к которым применена операция XOR.	dr_sandbox.ci_xor_num("string")
crc32(integer, integer)	Вычисляет и возвращает хеш crc32 для буфера. Первый параметр — смещение, второй — длина буфера.	dr_sandbox.crc32(0, 0)
cs_any(string)	Возвращает 1, если строка символов ASCII или wide, чувствительная к регистру, найдена, в противном случае — 0.	dr_sandbox.cs_any("string")
cs_any_num(string)	Возвращает количество найденных строк символов ASCII или wide, чувствительных к регистру.	dr_sandbox.cs_any_num("string")
cs_ascii(string)	Возвращает 1, если строка символов ASCII, чувствительная к регистру, найдена, в противном случае — 0.	dr_sandbox.cs_ascii("string")
cs_ascii_num(string)	Возвращает количество найденных строк символов ASCII, чувствительных к регистру.	dr_sandbox.cs_ascii_num("string")
cs_wide(string)	Возвращает 1, если строка символов wide, чувствительная к регистру, найдена, в противном случае — 0.	dr_sandbox.cs_wide("string")
cs_wide_num(string)	Возвращает количество найденных строк символов wide, чувствительных к регистру.	dr_sandbox.cs_wide_num("string")
detects_of_this_file(regex)	Возвращает количество детектов для проверяемого файла.	dr_sandbox.detects_of_this_file(/Virlock/) == 0
detects_of_this_file_num	Возвращает количество детектов для проверяемого файла.	dr_sandbox.detects_of_this_file_num
filename(regex)	Возвращает 1, если регулярное выражение в имени файла найдено, в противном случае — 0.	dr_sandbox.filename(/xtbl/)
filename_boost_regex(string_with_regex)	Ищет регулярное выражение в имени файла, используя boost::regex. Флаги для регулярного выражения: boost::regex::perl. Поиск по boost::regex_search. Может использоваться, если нужно использовать функции регулярного выражения, которые отсутствуют в regex YARA. Например, отрицательное опережающее выражение или обратные ссылки. При этом обратите внимание, что некорректное регулярное выражение замедлит проверку. Регулярные выражения YARA работают быстрее, чем boost::regex, поэтому по возможности рекомендуем использовать функцию dr_sandbox.filename(//). Возвращает 1, если регулярное выражение найдено, в противном случае — 0.	dr_sandbox.filename_boost_regex(“(?<!abc)def”)
filesystem_access(regex)	Функция высокого уровня, которая сопоставляет все операции файловой системы с регулярным выражением.	dr_sandbox.filesystem_access(/AnnaKournikova\.jpg\.vbs/)
network_access(regex)	Функция высокого уровня, которая сопоставляет все сетевые операции с регулярным выражением.	dr_sandbox.network_access(/\.php\?id=[0-9]+&token=[0-9]+/)
registry_access(regex)	Возвращает количество операций с реестром.	dr_sandbox.registry_access(/pattern/)
sb_filetype	Возвращает тип файла. Используется для сравнения со следующими константами SB_FILETYPE_*: SB_FILETYPE_SRC; SB_FILETYPE_DROP; SB_FILETYPE_MEMDMP; SB_FILETYPE_ALLOC; SB_FILETYPE_DUMP; SB_FILETYPE_INJECT.	dr_sandbox.sb_filetype == dr_sandbox.SB_FILETYPE_SRC
search_substring_in_range(string, integer, integer)	Выполняет поиск подстроки в буфере с использованием алгоритма Бойера — Мура. Первый аргумент — строка asciihex, второй — смещение, третий — длина. Обратите внимание, что эта функция может снижать производительность.	dr_sandbox.search_substring_in_range("string", 0, 0)