有关用户下载的文件的信息:下载的文件的网址和 IP 地址,下载的网页,下载协议的 ID 和连接端口号,地址的恶意活动指示器,文件的属性和大小及其校验和(MD5、SHA2-256、SHA1),下载文件的进程的相关信息(校验和(MD5、SHA2-256、SHA1),创建和链接的日期和时间,自动运行指示器,属性,打包程序的名称,签名信息,可执行文件指示器,格式 ID,熵),文件名,计算机上的文件路径,文件的数字签名及签名信息,进行检测的 URL,页面上被认为可疑或恶意的脚本数量,对这些脚本的已完成 http 请求及响应的相关信息。
有关正在运行的应用程序及其模块的信息:系统中正在运行的进程的数据(进程 ID (PID)),进程名称,启动进程的账户的详细信息,启动进程的应用程序和命令,以及该应用程序或进程是否可信的指示器,进程文件的完整路径和命令行,进程完整性级别,进程所属产品的描述(产品名称和发布者详细信息),以及当前使用的数字证书的相关信息,验证证书所需的信息或表示文件缺少数字签名的指示器,有关加载到进程中的模块信息(名称,大小,类型,创建日期,属性,校验和(MD5、SHA2-256、SHA1)以及路径),PE 文件头信息以及打包程序的名称(如果文件已打包)。
有关计算机反病毒防护状态的信息:使用的反病毒数据库的版本及发布日期和时间,权利持有者服务的更新和连接的统计数据,任务的 ID 以及执行扫描的软件组件的 ID。
有关导致出错的第三方应用程序的信息:应用程序名称、版本和本地化,系统应用程序日志中关于该程序的错误代码和信息,发生错误的地址和第三方应用程序的内存堆栈,软件组件中的错误指示器,出错之前第三方应用程序的运行时间,出错的应用程序进程映像的校验和(MD5、SHA2-256、SHA1),该应用程序进程映像的路径和路径模板代码,操作系统日志中与该应用程序相关的错误说明信息,发生错误的应用程序模块的相关信息(错误 ID,模块中偏移量形式的错误地址,模块的名称和版本,权利持有者插件中的应用程序崩溃的 ID 及崩溃的内存堆栈,以及出现故障之前应用程序的运行时间)。
有关计算机上安装的软件的信息:软件及其开发者的名称,使用的注册表项及其值,已安装的软件的文件信息(校验和(MD5、SHA2-256、SHA1),名称,文件在计算机上的路径,大小,版本和数字签名),有关内核对象的信息,驱动程序,服务,Microsoft Internet Explorer 扩展,打印系统扩展,Windows 资源管理器扩展,智能安装元素,控制面板小程序,hosts 文件条目和系统注册表,以及浏览器和邮件客户端的版本。
有关所有潜在恶意对象和活动的信息:检测到的对象的名称,计算机上对象的完整路径,所处理文件的校验和(MD5、SHA2-256、SHA1),检测日期和时间,感染文件的名称、大小和路径,路径模板代码,表示对象是否为容器的指示器,打包程序名称(如果文件已打包),文件类型代码,文件格式 ID,恶意软件执行的操作列表以及软件和用户针对其做出的响应决策,用于制定决策的反病毒数据库的 ID,检测到的威胁在权利持有者分类中的名称,危险等级,检测状态和检测方法,包含在已分析上下文中的原因及上下文中文件的序列号,校验和(MD5、SHA2-256、SHA1),用于发送感染消息或链接的应用程序的可执行文件的名称和属性,被阻止对象的主机的去个性化 IP 地址(IPv4 和 IPv6),文件熵,文件自动运行指示器,在系统中首次检测到文件的时间,上次发送统计信息后文件被执行的次数,通过其收到恶意对象的邮件客户端的名称、校验和(MD5、SHA2-256、SHA1)和大小,执行扫描的软件任务的 ID,表示文件信誉或签名是否经过检查的指示器,文件处理结果,为对象收集的模式的校验和 (MD5),模式大小(以字节为单位),以及使用的检测技术的技术规格。
可执行文件和不可执行文件(全部或部分)。
自软件安装以来和上次更新以来软件转储和系统转储 (BSOD) 的次数,发生故障的软件模块的 ID 和版本,软件进程的内存堆栈,以及发生故障时的反病毒数据库的相关信息。