Fornecimento de dados ao usar a Kaspersky Security Network

O conjunto de dados que o Kaspersky Endpoint Security envia ao Kaspersky depende do tipo de licença e das configurações de uso da Kaspersky Security Network.

Uso de KSN sob licença em não mais de 4 computadores

Ao aceitar a Declaração da Kaspersky Security Network, você concorda em transmitir automaticamente as seguintes informações:

• informações sobre atualizações nas configuração da KSN: identificador da configuração ativa, identificador da configuração recebida, código de erro da atualização da configuração;
• informações sobre arquivos e endereços de URL a serem verificados: somas de verificação do arquivo verificado (MD5, SHA2-256, SHA1) e padrões de arquivos (MD5), tamanho do padrão, tipo de ameaça detectada e respectivo nome de acordo com a classificação do Titular dos Direitos, identificador dos bancos de dados de antivírus, endereço URL em que a reputação está sendo solicitada, bem como o endereço URL do solicitante, identificador do protocolo de conexão e número da porta que está sendo utilizada;
• ID da tarefa de verificação que detectou a ameaça;
• informações sobre os certificados digitais que estão sendo utilizados e que são necessárias para verificar a autenticidade deles: as somas de verificação (SHA256) do certificado utilizado para assinar o objeto verificado e a chave pública do certificado;
• identificador do componente de software que está executando a verificação;
• IDs dos bancos de dados de antivírus e dos registros nesses bancos de dados de antivírus;
• informações sobre ativação do Software no Computador: cabeçalho assinado do ticket do serviço de ativação (identificador do centro de ativação regional, soma de verificação do código de ativação, soma de verificação do ticket, data de criação do ticket, identificador único do ticket, versão do ticket, status de licença, data e hora de início/final da validade do ticket, identificador único da licença, versão da licença), identificador do certificado usado para assinar o cabeçalho do ticket, soma de verificação (MD5) do arquivo de chave;
• informações sobre o Software do Titular dos direitos: versão completa, tipo e versão do protocolo usado para conectar-se aos serviços da Kaspersky.

Uso de KSN sob licença em 5 ou mais computadores

Ao aceitar a Declaração da Kaspersky Security Network, você concorda em transmitir automaticamente as seguintes informações:

Se a caixa de seleção Kaspersky Security Network estiver marcada e a caixa de seleção Ativar modo KSN estendido estiver desmarcada, as seguintes informações serão transmitidas:

• informações sobre atualizações nas configuração da KSN: identificador da configuração ativa, identificador da configuração recebida, código de erro da atualização da configuração;
• informações sobre arquivos e endereços de URL a serem verificados: somas de verificação do arquivo verificado (MD5, SHA2-256, SHA1) e padrões de arquivos (MD5), tamanho do padrão, tipo de ameaça detectada e respectivo nome de acordo com a classificação do Titular dos Direitos, identificador dos bancos de dados de antivírus, endereço URL em que a reputação está sendo solicitada, bem como o endereço URL do solicitante, identificador do protocolo de conexão e número da porta que está sendo utilizada;
• ID da tarefa de verificação que detectou a ameaça;
• informações sobre os certificados digitais que estão sendo utilizados e que são necessárias para verificar a autenticidade deles: as somas de verificação (SHA256) do certificado utilizado para assinar o objeto verificado e a chave pública do certificado;
• identificador do componente de software que está executando a verificação;
• IDs dos bancos de dados de antivírus e dos registros nesses bancos de dados de antivírus;
• informações sobre ativação do Software no Computador: cabeçalho assinado do ticket do serviço de ativação (identificador do centro de ativação regional, soma de verificação do código de ativação, soma de verificação do ticket, data de criação do ticket, identificador único do ticket, versão do ticket, status de licença, data e hora de início/final da validade do ticket, identificador único da licença, versão da licença), identificador do certificado usado para assinar o cabeçalho do ticket, soma de verificação (MD5) do arquivo de chave;
• informações sobre o Software do Titular dos direitos: versão completa, tipo e versão do protocolo usado para conectar-se aos serviços da Kaspersky.

Caso as caixas de seleção Ativar modo KSN estendido e Kaspersky Security Network estejam marcadas, o aplicativo enviará as seguintes informações, além das informações listadas acima:

• informações sobre os resultados da categorização dos recursos da Web solicitados, que contêm o endereço URL e IP processados do host, a versão do componente do Software que executou a categorização, o método de categorização e o conjunto de categorias definidas para o recursos da Web;
• informações sobre o software instalado no Computador: nomes dos aplicativos de software e fornecedores do software, chaves de registro e respectivos valores, informações sobre arquivos dos componentes de software instalados (somas de verificação (MD5, SHA2-256, SHA1), nome, caminho até o arquivo no Computador, tamanho, versão e assinatura digital);
• informações sobre o estado da proteção antivírus do Computador: as versões e os carimbos de data/hora de lançamento dos bancos de dados de antivírus em uso, o ID da tarefa e o ID do Software que executa a verificação;
• informações sobre arquivos que o Usuário Final esteja baixando: URL e endereços IP dos downloads e páginas de download, identificador do protocolo de download e número da porta de conexão, status dos URLs como malicioso ou não malicioso, atributos, tamanho e somas de verificação (MD5, SHA2-256, SHA1) dos arquivos, informações sobre o processo que baixou o arquivo (somas de verificação (MD5, SHA2-256, SHA1), data e hora da criação/compilação, status de reprodução automática, atributos, nomes dos empacotadores, informações sobre assinaturas, indicador de arquivo executável, identificador de formatos e entropia), nome e caminho do arquivo no Computador, assinatura digital do arquivo e marca de hora de sua geração, endereço URL onde ocorreu a detecção, número do script na página parece suspeita ou nociva, informações sobre solicitações HTTP geradas e respectivas respostas;
• informações sobre os aplicativos em execução e respectivos módulos: dados sobre processos em execução no sistema (ID de processo (PID), nome do processo, informações sobre a conta na qual o processo foi iniciado, aplicativo e comando que iniciaram o processo, sinal de programa ou processo confiável, caminho completo dos arquivos do processo e as respectivas somas de verificação (MD5, SHA2-256, SHA1), e a linha de comando inicial, o grau de integridade do processo, uma descrição do produto ao qual o processo pertence (o nome do produto e informações sobre o editor), além de certificados digitais em uso e informações necessárias para verificar a autenticidade ou informações sobre a ausência de assinatura digital do arquivo) e informações sobre os módulos carregados nos processos (nomes, tamanhos, tipos, datas de criação, atributos, somas de verificação (MD5, SHA2-256, SHA1), respectivos caminhos no Computador), informações do cabeçalho do arquivo PE, nomes dos compactadores (se o arquivo estiver compactado);
• informações sobre todos os objetos e atividades potencialmente maliciosos: nome do objeto detectado e caminho completo para o objeto no computador, somas de verificação de arquivos processados (MD5, SHA2-256, SHA1), data e hora da detecção, nomes e tamanhos de arquivos infectados e caminhos para eles, código de modelo de caminho, indicador de arquivo executável, indicador se o objeto é um contêiner, nomes do compactador (se o arquivo foi compactado), código do tipo de arquivo, identificação do formato do arquivo, lista de ações realizadas pelo malware e a decisão tomada pelo software e o usuário em resposta a elas, IDs dos bancos de dados de antivírus e dos registros nesses bancos de dados de antivírus que foram usados para tomar a decisão, indicador de um objeto potencialmente malicioso, nome da ameaça detectada de acordo com a classificação do Titular de direito, nível de perigo, status de detecção e método de detecção, razão para inclusão no contexto analisado e o número de sequência do arquivo no contexto, somas de verificação (MD5, SHA2-256, SHA1), nome e atributos do arquivo executável do aplicativo por meio do qual a mensagem ou o link infectados foram transmitidos, endereços IP despersonalizados (IPv4 e IPv6) do host do objeto bloqueado, entropia de arquivo, indicador de execução automática do arquivo, hora em que o arquivo foi detectado pela primeira vez no sistema, número de vezes que o arquivo foi executado desde que as últimas estatísticas foram enviadas, informações sobre nome, somas de verificação (MD5, SHA2-256, SHA1) e tamanho do cliente de e-mail por meio do qual o objeto malicioso foi recebido, ID da tarefa de software que realizou a verificação, indicador para a verificação de reputação ou assinatura do arquivo, resultado de processamento de arquivos, soma de verificação (MD5) do padrão coletado para o objeto, tamanho do padrão em bytes e especificações técnicas das tecnologias de detecção aplicadas;
• informações sobre objetos verificados: grupo de confiança atribuído no qual e/ou a partir do qual o arquivo foi colocado, motivo pelo qual o arquivo foi colocado naquela categoria, identificador da categoria, informações sobre a origem das categorias e a versão do banco de dados das categorias, identificador do certificado confiável do arquivo, nome do fornecedor do arquivo, versão do arquivo, nome e versão do aplicativo de software que inclui o arquivo;
• informações sobre vulnerabilidades detectadas: ID da vulnerabilidade no banco de dados de vulnerabilidades, classe de perigo da vulnerabilidade;
• informações sobre a emulação do arquivo executável: tamanho do arquivo e respectivas somas de verificação (MD5, SHA2-256, SHA1), versão do componente de emulação, profundidade da emulação, matriz das propriedades de blocos lógicos e funções dentro dos blocos lógicos obtidos durante a emulação, dados dos cabeçalhos PE do arquivo executável;
• os endereços IP do computador que realiza o ataque (IPv4 e IPv6), o número da porta no computador ao qual o ataque de rede foi direcionado, o identificador do protocolo do pacote IP que contém o ataque, o alvo do ataque (nome da organização, site), o indicador da reação ao ataque, peso do ataque, nível de confiança;
• informações sobre ataques associados a recursos de rede falsificados, DNS e endereços IP (IPv4 e IPv6) dos sites visitados;
• DNS e endereços IP (IPv4 ou IPv6) do recurso da Web solicitado, informações sobre o arquivo e o cliente Web que acessou o recurso da Web, nome, tamanho e checksums (MD5, SHA2-256, SHA1) do arquivo, caminho completo do arquivo e código do modelo do caminho, resultado da verificação da assinatura digital e status de acordo com a KSN;
• informações sobre reversão de ações de Malware: dados no arquivo cuja atividade foi revertida (nome do arquivo, caminho completo para o arquivo, seu tamanho e somas de verificação (MD5, SHA2-256, SHA1)), dados sobre ações bem-sucedidas e malsucedidas a excluir, renomear e copiar arquivos e restaurar os valores no registro (nomes das chaves de registro e seus valores) e informações sobre arquivos de sistema modificados pelo Malware, antes e depois da reversão;
• Informações sobre as exclusões definidas para o componente de Controle Adaptativo de Anomalias: ID e status da regra que foi acionada, ação executada pelo Software quando a regra foi acionada, tipo de conta de usuário sob a qual o processo ou o thread executa atividade suspeita, informações sobre o processo que estava sujeito à atividade suspeita (ID do script ou nome do arquivo de processo, caminho completo do arquivo de processo, código do modelo do caminho, checksums (MD5, SHA2-256, SHA1) do arquivo de processo); informações sobre o objeto que executou as ações suspeitas e sobre o objeto que estava sujeito às ações suspeitas (nome da chave do registro ou nome do arquivo, caminho completo do arquivo, código do modelo de caminho e checksums (MD5, SHA2-256, SHA1) do arquivo).
• informações sobre módulos de software carregados: nome, tamanho e somas de verificação (MD5, SHA2-256, SHA1) do arquivo de módulo, caminho completo e código do modelo do caminho, configurações da assinatura digital do arquivo de módulo, data e hora da geração da assinatura, nomes da pessoa física e jurídica que assinou o arquivo de módulo, ID do processo no qual o módulo foi carregado, nome do fornecedor do módulo e o número de sequência do módulo na fila de carregamento;
• informações sobre a qualidade da interação do Software com os serviços KSN: data e hora inicial e final do período em que as estatísticas foram geradas, informações sobre a qualidade das solicitações e a conexão a cada um dos serviços da KSN usados (ID do serviço da KSN, número de solicitações bem-sucedidas, número de solicitações com respostas do cache, número de solicitações malsucedidas (problemas de rede, desativação da KSN nas configurações do Software, roteamento incorreto), intervalo de tempo das solicitações bem-sucedidas, intervalo de tempo das solicitações canceladas, intervalo de tempo das solicitações com limite de tempo excedido, número de conexões à KSN retiradas do cache, número de conexões bem-sucedidas à KSN, número de conexões malsucedidas à KSN, número de transações bem-sucedidas, número de transações malsucedidas, intervalo de tempo das conexões bem-sucedidas à KSN, intervalo de tempo das conexões malsucedidas à KSN, intervalo de tempo das transações bem-sucedidas, intervalo de tempo das transações malsucedidas);
• se um objeto potencialmente malicioso for detectado, serão fornecidas informações sobre dados na memória dos processos: elementos da hierarquia de objetos do sistema (ObjectManager), dados na memória UEFI-BIOS, nomes das chaves de registro e respectivos valores;
• informações sobre eventos em logs do sistema: marca de hora do evento, nome do log no qual o evento foi encontrado, tipo e categoria do evento, nome da origem do evento e descrição do evento;
• informações sobre conexões de rede: versão e somas de verificação (MD5, SHA2-256, SHA1) do arquivo a partir do qual foi iniciado o processo que abriu a porta, caminho do arquivo do processo e respectiva assinatura digital, endereços IP local e remoto, número de portas de conexão locais e remotas, estado da conexão, marca de hora da abertura da porta;
• informações sobre a data de instalação e ativação do software no computador: o ID do parceiro que vendeu a licença, o número de série da licença, o cabeçalho assinado do tíquete do serviço de ativação (o ID de um centro de ativação regional, o checksum do código de ativação, o checksum do tíquete, a data de criação do tíquete, o ID exclusivo do tíquete, a versão do tíquete, o status da licença, a data e hora de início/término do tíquete, o ID exclusivo da licença, a versão da licença), o ID do certificado usado para assinar o cabeçalho do tíquete, o checksum (MD5) do arquivo de chave, o ID exclusivo de instalação do software no computador, o tipo e ID do aplicativo que é atualizado, o ID da tarefa de atualização;
• informações sobre o conjunto de todas as atualizações instaladas e o conjunto das atualizações instaladas/removidas mais recentemente, tipo de evento que causou o envio das informações de atualização, tempo decorrido desde a instalação da última atualização, informações sobre quaisquer bancos de dados de antivírus instalados;
• informações sobre operação de software no computador: dados sobre uso de CPU, dados sobre uso de memória (bytes privados, Pool não paginado, Pool em páginas) número de ameaças ativas no processo de software e ameaças pendentes e a duração de operação de software antes do erro;
• número de dumps do software e dumps do sistema (BSOD) desde a instalação do Software e desde o momento da última atualização, identificador e versão do módulo do Software que apresentou erro fatal, pilha da memória no processo do Software, e informações sobre os bancos de dados antivírus no momento do erro fatal;
• dados sobre o dump do sistema (BSOD): sinalizador indicando a ocorrência da BSOD no Computador, nome do driver que causou a BSOD, endereço e pilha de memória no driver, sinalizador indicando a duração da sessão no SO antes da ocorrência da BSOD, pilha de memória do driver que apresentou erro fatal, tipo de dump de memória armazenado, sinalizador da sessão do SO anterior à BSOD com duração superior a 10 minutos, identificador exclusivo do dump, carimbo de data/hora da BSOD;
• informações sobre erros ou problemas de desempenho que ocorreram durante a operação dos componentes do Software: ID de status do Software, tipo de erro, código e causa, bem como a hora em que ocorreu o erro, IDs do componente, módulo e processo do produto no qual ocorreu o erro, ID da tarefa ou categoria de atualização durante a qual ocorreu o erro, logs de drivers utilizados pelo Software (código de erro, nome do módulo, nome do arquivo de origem e a linha em que ocorreu o erro);
• informações sobre atualizações de bancos de dados antivírus e componentes de Software: nome, data e hora dos arquivos de índice baixados durante a última atualização e que estão sendo baixados durante a atualização atual;
• informações sobre encerramento anormal da operação do Software: carimbo de data/hora de criação do dump, respectivo tipo, tipo de evento que causou o encerramento anormal da operação do Software (desligamento inesperado, erro fatal em aplicativos de terceiros), data e hora do desligamento inesperado;
• informações sobre a compatibilidade dos drivers de Software com o hardware e o Software: informações sobre propriedades do SO que restringem o funcionamento dos componentes do Software (inicialização segura, KPTI, WHQL Enforce, BitLocker, diferenciação entre maiúsculas e minúsculas), tipo de Software baixado e instalado (UEFI, BIOS), identificador do módulo de plataforma confiável (TPM), versão de especificação do TPM, informações sobre a CPU instalada no Computador, modo de operação e parâmetros de integridade do código e proteção do dispositivo, modo de operação dos drivers e motivo do uso do modo atual, versão dos drivers do Software e status de suporte à virtualização do software e hardware do Computador;
• informações sobre aplicativos de terceiros que tenham causado o erro: nome, versão e localização dos aplicativos, código do erro e informações sobre o erro contidas no log de aplicativos do sistema, endereço do erro e pilha de memória do aplicativo de terceiros, sinalizador indicando a ocorrência do erro no componente do Software, tempo de operação do aplicativo de terceiros antes da ocorrência do erro, somas de verificação (MD5, SHA2-256, SHA1) da imagem do processo do aplicativo no qual ocorreu o erro, caminho da imagem do processo do aplicativo e código do modelo do caminho, informações contidas no log do sistema com descrição do erro associado ao aplicativo, informações sobre o módulo do aplicativo no qual ocorreu o erro (identificador da exceção, endereço da memória afetada pela pane como deslocamento no módulo do aplicativo, nome e versão do módulo, identificador da pene do aplicativo no plug-in e pilha de memória da pane do Titular dos Direitos, duração da sessão do aplicativo antes da pane);
• versão do componente de atualização do Software, número de panes do componente de atualização durante a execução de tarefas de atualização ao longo da vida útil do componente, ID do tipo de tarefa de atualização, número de tentativas fracassadas do componente de atualização para concluir as tarefas de atualização;
• informações sobre a operação dos componentes de monitoramento do sistema de Software: versões completas dos componentes, data e hora em que os componentes foram iniciados, código do evento que sobrecarregou a fila de eventos e número de eventos, número total de eventos de sobrecarga da fila, informações sobre o arquivo do processo do iniciador do evento (nome do arquivo e respectivo caminho no Computador, código do modelo do caminho do arquivo, checksums (MD5, SHA2-256, SHA1) do processo associado ao arquivo, versão do arquivo), identificador da interceptação do evento ocorrida, versão completa do filtro de interceptação, identificador do tipo de evento interceptado, tamanho da fila de eventos e número de eventos entre o primeiro evento da fila e o evento atual, número de eventos atrasados ​​na fila, informações sobre o arquivo do processo do iniciador do evento atual (nome do arquivo e respectivo caminho no Computador, código do modelo do caminho do arquivo, checksums (MD5, SHA2-256, SHA1) do processo associado ao arquivo), duração do processamento do evento, duração máxima do processamento do evento, probabilidade de envio de estatísticas, informações sobre eventos do SO para os quais o limite de tempo de processamento foi excedido (data e hora do evento, número de inicializações repetidas dos bancos de dados antivírus, data e hora da última inicialização repetida dos bancos de dados antivírus após a atualização deles, tempo de atraso no processamento de eventos para cada componente de monitoramento do sistema, número de eventos na fila, número de eventos processados, número de eventos atrasados ​​do tipo atual, tempo total de atraso dos eventos do tipo atual, tempo total de atraso de todos os eventos);
• informações da ferramenta de rastreamento de eventos do Windows (Event Tracing for Windows, ETW) em caso de problemas de desempenho do Software, fornecedores de eventos SysConfig/SysConfigEx/WinSATAssessment da Microsoft: informações sobre o Computador (modelo, fabricante, fator de forma da carcaça, versão), informações sobre métricas de desempenho do Windows (avaliações WinSAT, índice de desempenho do Windows), nome de domínio, informações sobre processadores físicos e lógicos (número de processadores físicos e lógicos, fabricante, modelo, nível de revisão, número de cores, frequência de relógio, CPUID, características do cache, características do processador lógico, indicadores de modos suportados e instruções), informações sobre módulos RAM (tipo, fator de forma, fabricante, modelo, capacidade, granularidade de alocação da memória), informações sobre interfaces de rede (endereços IP e MAC, nome, descrição, configuração de interfaces de rede, discriminação de número e tamanho dos pacotes de rede por tipo, velocidade de troca da rede, discriminação do número de erros de rede por tipo), configuração do controlador IDE, endereços IP de servidores DNS, informações sobre a placa de vídeo (modelo, descrição, fabricante, compatibilidade, capacidade de memória de vídeo, permissão de tela, número de bits por pixel, versão BIOS), informações sobre dispositivos plug-and-play (nome, descrição, identificador de dispositivo [PnP, ACPI], informações sobre discos e dispositivos de armazenamento (número de discos ou flash drives, fabricante, modelo, capacidade de disco, número de cilindros, número de trilhas por cilindro, número de setores por trilha, capacidade dos setores, características do cache, número sequencial, número de partições, configuração do controlador SCSI), informações sobre discos lógicos (número sequencial, capacidade de partição, capacidade de volume, letra do volume, tipo de partição, tipo de sistema de arquivos, número de clusters, tamanho do cluster, número de setores por cluster, número de clusters vazios e ocupados, letra do volume inicializável, endereço de deslocamento da partição em relação ao início do disco), informações sobre a placa-mãe BIOS (fabricante, data de lançamento, versão), informações sobre a placa-mãe (fabricante, modelo, tipo), informações sobre memória física (capacidade compartilhada e livre), informações sobre serviços do sistema operacional (nome, descrição, status, marcação, informações sobre processos [nome e PID]), parâmetros de consumo de energia para o Computador, configuração do controlador de interrupções, caminho das pastas do sistema Windows (Windows e System32), informações sobre o SO (versão, compilação, data de lançamento, nome, tipo, data de instalação), tamanho do arquivo de páginas, informações sobre monitores (número, fabricante, permissão de tela, capacidade de resolução, tipo), informações sobre o driver da placa de vídeo (fabricante, data de lançamento, versão);
• informações do ETW, fornecedores de eventos EventTrace / EventMetadata da Microsoft: informações sobre a sequência de eventos do sistema (tipo, hora, data, fuso horário), metadados sobre o arquivo com os resultados do rastreamento (nome, estrutura, parâmetros de rastreamento, discriminação do número de operações de rastreamento por tipo), informações sobre o SO (nome, tipo, versão, compilação, data de lançamento, hora de início);
• informações do ETW, fornecedores de eventos de Process/Microsoft Windows Kernel Process/Microsoft Windows Kernel Processor Power da Microsoft: informações sobre processos iniciados e concluídos (nome, PID, parâmetros de início, linha de comando, código de retorno, parâmetros de gerenciamento de energia, hora de início e conclusão, tipo de token de acesso, SID, SessionID, número de descritores instalados), informações sobre alterações nas prioridades do thread (TID, prioridade, hora), informações sobre operações de disco do processo (tipo, hora, capacidade, número), histórico de alterações na estrutura e capacidade dos processos de memória utilizáveis;
• informações do ETW, fornecedores de eventos StackWalk/Perfinfo da Microsoft: informações sobre contadores de desempenho (desempenho de seções de código individuais, sequência de chamadas de função, PID, TID, endereços e atributos de ISRs e DPCs);
• informações do ETW, fornecedor de eventos KernelTraceControl-ImageID da Microsoft: informações sobre arquivos executáveis​e bibliotecas dinâmicas (nome, tamanho da imagem, caminho completo), informações sobre arquivos PDB (nome, identificador), dados de recursos VERSIONINFO para arquivos executáveis (nome, descrição, criador, localização, versão e identificador do aplicativo, versão do arquivo e identificador);
• informações do ETW, fornecedores de eventos FileIo/DiskIo/Image/Windows Kernel Disk da Microsoft: informações sobre operações de arquivo e disco (tipo, capacidade, hora de início, hora de conclusão, duração, status da conclusão, PID, TID, endereços de chamada de funções do driver, pacote de solicitações de E/S (IRP), atributos de objetos de arquivos do Windows), informações sobre arquivos envolvidos em operações de arquivo e disco (nome, versão, tamanho, caminho completo, atributos, deslocamento, checksum de imagem, opções de abertura e acesso);
• informações do ETW, fornecedor de eventos PageFault da Microsoft: informações sobre erros de acesso à página de memória (endereço, hora, capacidade, PID, TID, atributos do objeto de arquivos do Windows, parâmetros de alocação de memória);
• informações do ETW, fornecedor de eventos de Thread da Microsoft: informações sobre criação/conclusão de threads, informações sobre threads iniciados (PID, TID, tamanho da pilha, prioridades e alocação de recursos da CPU, recursos de E/S, páginas de memória entre threads, endereço da pilha, endereço da função init, endereço do Thread Environment Block (TEB), identificador de serviços do Windows);
• informações do ETW, fornecedor de eventos Microsoft Windows Kernel Memory da Microsoft: informações sobre operações de gerenciamento de memória (status de conclusão, hora, quantidade, PID), estrutura de alocação de memória (tipo, capacidade, SessionID, PID);
• informações sobre a operação do Software em caso de problemas de desempenho: identificador da instalação do Software, tipo e valor da queda de desempenho, informações sobre a sequência de eventos dentro do Software (hora, fuso horário, tipo, status de conclusão, identificador de componentes do Software, identificador de cenário operacional do Software, TID, PID, endereços de chamadas de funções), informações sobre conexões de rede a serem verificadas (URL, direção da conexão, tamanho do pacote de rede), informações sobre arquivos PDB (nome, identificador, tamanho da imagem do arquivo executável), informações sobre arquivos a serem verificados (nome, caminho completo, checksum), parâmetros de monitoramento de desempenho do Software;
• informações sobre a última reinicialização do SO: número de reinicializações malsucedidas desde a instalação do SO, dados no dump do sistema (código e parâmetros de um erro, nome, versão e soma de verificação (CRC32) do módulo que causou um erro na operação do SO, endereço do erro como desvio no módulo, somas de verificação (MD5, SHA1, SHA2-256) do dump do sistema);
• informações para verificar a autenticidade de certificados digitais que estão sendo utilizados para assinar arquivos: impressão digital do certificado, algoritmo da soma de verificação, chave pública e número de série do certificado, nome do emissor do certificado, resultado da validação do certificado e identificador do banco de dados do certificado;
• informações sobre o processo que executou o ataque na autodefesa do Software: nome e tamanho do arquivo, respectivas somas de verificação (MD5, SHA2-256, SHA1), caminho completo do arquivo de processo e código do modelo do caminho do arquivo, carimbos de data/hora de criação/compilação, sinalizador de arquivo executável, atributos do arquivo de processo, informações sobre o certificado utilizado para assinar o arquivo de processo, código da conta usada para iniciar o processo, ID das operações executadas para acessar o processo, tipo de recurso com o qual a operação é executada (processo, arquivo, objeto de registro, função de pesquisa FindWindow), nome do recurso com o qual a operação é executada, sinalizador indicando o êxito da operação, status do arquivo do processo e respectiva assinatura de acordo com a KSN;
• informações sobre o Software do Titular dos direitos: versão completa, tipo, localização e estado de operação do Software usado, versões dos componentes de Software instalados e seu estado de operação, informações sobre as atualizações de Software instaladas, o valor do filtro TARGET, a versão do protocolo usado para se conectar aos serviços do Titular dos direitos;
• informações sobre o hardware instalado no Computador: tipo, nome, nome do modelo, versão do firmware, parâmetros dos dispositivos embutidos e conectados, identificador exclusivo do Computador com o Software instalado;
• informações sobre as versões do sistema operacional e atualizações instaladas, tamanho das palavras, edição e parâmetros do modo de execução do SO, versão e somas de verificação (MD5, SHA1, SHA2-256) do arquivo do kernel do SO e data e hora iniciais do SO;
• arquivos executáveis e não executáveis, total ou parcialmente;
• porções da RAM do computador;
• setores envolvidos no processo de inicialização do sistema operacional;
• pacotes de dados de tráfego de rede;
• páginas da web e e-mails que contenham objetos suspeitos e maliciosos;
• descrição das classes e instâncias de classes do repositório do WMI;
• relatórios de atividades dos aplicativos:
  • o nome, tamanho e versão do arquivo que está sendo enviado, sua descrição e checksums (MD5, SHA2-256, SHA1), identificador de formato de arquivo, o nome do fornecedor do arquivo, o nome do produto ao qual o arquivo pertence, caminho completo para o arquivo no computador, o código do modelo do caminho, os carimbos de data/hora de criação e modificação do arquivo;
  • data/hora de início e término do período de validade do certificado (se o arquivo tiver uma assinatura digital), a data e a hora da assinatura, o nome do emissor do certificado, informações sobre o titular do certificado, a impressão digital, a chave pública do certificado e algoritmos apropriados, e o número de série do certificado;
  • o nome da conta na qual o processo está sendo executado;
  • checksums (MD5, SHA2-256, SHA1) do nome do Computador no qual o processo está sendo executado;
  • títulos das janelas de processo;
  • identificador para os bancos de dados do antivírus, nome da ameaça detectada de acordo com a classificação do Titular dos direitos;
  • dados sobre a licença instalada, seu identificador, tipo e data de expiração;
  • hora local do Computador no momento da prestação da informação;
  • nomes e caminhos dos arquivos que foram acessados pelo processo;
  • nomes de chaves de registro e seus valores que foram acessados pelo processo;
  • URL e endereços IP que foram acessados pelo processo;
  • URL e endereços IP dos quais o arquivo em execução foi baixado.