样本内容概述

360捕获了海量的样本数据，通过云端自动化分析提取出样本画像信息，帮助用户从多个角度了解样本的情报。

一、Hash算法

样本的Hash特征是业内通用的标识样本信息的手段，平台提供两大类，共四种的样本Hash特征。用户可以通过这四种Hash特征对样本进行检索。

• 常见Hash算法特征

为了适应当前安全行业常用的样本标识的Hash特征，平台提供样本的MD5、SHA1、SHA256的特征情报。

• 国密Hash算法特征

相较于常见的Hash算法特征，为推动国密算法的应用，平台还支持了国密SM3算法的Hash特征。

二、趋势分析

趋势分析提供了样本在国内各省扩散情况的地域分布和活跃度曲线。这部分数据内容是评估样本影响度的直接参考。

三、扫描结果

平台提供多款扫描引擎对样本的扫描情报，并以扫描时间为参考，提供扫描日志记录。

扫描样本所用到的检测引擎分为三大类：

• 云引擎

不同于传统的引擎分析方法，360在云端部署了多种维度的样本识别规则用来检测样本的威胁情况。同时，云引擎的识别规则链接了多个运营团队的特征分析能力，保证可以第一时间集成最新的识别规则。

• 商业引擎

平台集成了360三款成熟地应用于各种业务当中的扫描引擎，分别是：专注于脚本识别的QEX引擎、基于人工智能技术的QVM引擎、第二代启发式病毒检测技术的AVE引擎。

• 内测引擎

除了上述四款成熟的商用病毒检测引擎之外，平台还集成了五款正在孵化测试的病毒检测引擎。

四、静态信息

文件的静态信息是安全分析人员快速了解样本特性的数据。平台提供样本的静态信息，包括：文件基本信息、Exiftool识别信息、以及三种常见的样本识别信息（APK、PE、ELF）。

五、文件摘要

在格式化的静态信息之外，平台还支持三种类型文件摘要信息。这三类文件摘要内容能够帮助用户在撰写自定义样本检测规则时候，提供重要的参考依据。

• 二进制HEX信息

文件头部的二进制数据包含了关键的文件的原始特征数据。

• Strings字段信息

同strings命令，向用户输出文件中的原始字段数据。

• APK界面文字信息

对于APK文件，平台还向用户提供了APK程序中的字段数据。

六、关联进程

进程关系是重要的样本动态情报信息。平台提供了三种进程情报：

• 父进程

激活并运行当前样本的进程信息。

• 子进程

当前样本运行过程中启动的进程样本。

• 释放文件

当前样本释放出来的样本文件。

七、网络行为

网络行为描述了样本运行过程当中的通联情况。平台支持多种网络协议内容，除了基本的TCP协议与UDP协议之外，还支持ICMP、DNS、SMTP、HTTP等多种协议。

八、公开报告

为了丰富样本实体的信息，平台会从网络中抓取安全报告，并将与此样本相关的报告展示给用户。

九、威胁图谱

威胁图谱是平台的重要功能，可以通过可视化方式对事件线索进行拓展，并将结果以元素丰富的拓扑图方式展示给用户。