这些字段由 `file_integrity` 模块生成。
文件属性。
这些字段包含 Linux 可执行链接格式 (ELF) 元数据。
-
file.elf.go_imports -
导入的 Go 语言元素名称和类型的列表。
类型:扁平化
-
file.elf.go_imports_names_entropy -
根据 Go 导入列表计算的香农熵。
类型:长整型
格式:数字
-
file.elf.go_imports_names_var_entropy -
根据 Go 导入列表计算的香农熵的方差。
类型:长整型
格式:数字
-
file.elf.go_import_hash -
ELF 文件中 Go 语言导入的哈希值,不包括标准库导入。即使在重新编译或其他代码级转换发生后(这会改变更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。计算 Go 符号哈希的算法和参考实现可在[此处](https://github.com/elastic/toutoumomoma)找到。
类型:关键字
示例:10bddcb4cee42080f76c88d9ff964491
-
file.elf.go_stripped -
如果文件是其符号已被剥离或混淆的 Go 可执行文件,则设置为 true;如果是非混淆的 Go 可执行文件,则设置为 false。
类型:布尔型
-
file.elf.imports_names_entropy -
根据导入的元素名称和类型的列表计算的香农熵。
类型:长整型
格式:数字
-
file.elf.imports_names_var_entropy -
根据导入的元素名称和类型的列表计算的香农熵的方差。
类型:长整型
格式:数字
-
file.elf.import_hash -
ELF 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后(这会改变更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。这是 Windows PE imphash 的 ELF 实现。
类型:关键字
示例:d41d8cd98f00b204e9800998ecf8427e
-
file.elf.sections.var_entropy -
根据节计算的香农熵的方差。
类型:长整型
格式:数字
这些字段包含 Mach 对象文件格式 (Mach-O) 元数据。
-
file.macho.go_imports -
导入的 Go 语言元素名称和类型的列表。
类型:扁平化
-
file.macho.go_imports_names_entropy -
根据 Go 导入列表计算的香农熵。
类型:长整型
格式:数字
-
file.macho.go_imports_names_var_entropy -
根据 Go 导入列表计算的香农熵的方差。
类型:长整型
格式:数字
-
file.macho.go_import_hash -
Mach-O 文件中 Go 语言导入的哈希值,不包括标准库导入。即使在重新编译或其他代码级转换发生后(这会改变更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。计算 Go 符号哈希的算法和参考实现可在[此处](https://github.com/elastic/toutoumomoma)找到。
类型:关键字
示例:10bddcb4cee42080f76c88d9ff964491
-
file.macho.go_stripped -
如果文件是其符号已被剥离或混淆的 Go 可执行文件,则设置为 true;如果是非混淆的 Go 可执行文件,则设置为 false。
类型:布尔型
-
file.macho.imports -
导入的元素名称和类型的列表。
类型:扁平化
-
file.macho.imports_names_entropy -
根据导入的元素名称和类型的列表计算的香农熵。
类型:长整型
格式:数字
-
file.macho.imports_names_var_entropy -
根据导入的元素名称和类型的列表计算的香农熵的方差。
类型:长整型
格式:数字
-
file.macho.import_hash -
Mach-O 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后(这会改变更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。这是 symhash 的同义词。
类型:关键字
示例:d3ccf195b62a9279c3c19af1080497ec
-
file.macho.sections -
一个数组,包含 Mach-O 文件每个节的对象。这些对象中应存在的键由
macho.sections.*下的子字段定义。类型:嵌套
-
file.macho.sections.entropy -
根据节计算的香农熵。
类型:长整型
格式:数字
-
file.macho.sections.var_entropy -
根据节计算的香农熵的方差。
类型:长整型
格式:数字
-
file.macho.sections.name -
Mach-O 节列表名称。
类型:关键字
-
file.macho.sections.physical_size -
Mach-O 节列表物理大小。
类型:长整型
格式:字符串
-
file.macho.sections.virtual_size -
Mach-O 节列表虚拟大小。
类型:长整型
格式:字符串
-
file.macho.symhash -
Mach-O 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后(这会改变更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。
类型:关键字
示例:d3ccf195b62a9279c3c19af1080497ec
这些字段包含 Windows 可移植执行体 (PE) 元数据。
-
file.pe.go_imports -
导入的 Go 语言元素名称和类型的列表。
类型:扁平化
-
file.pe.go_imports_names_entropy -
根据 Go 导入列表计算的香农熵。
类型:长整型
格式:数字
-
file.pe.go_imports_names_var_entropy -
根据 Go 导入列表计算的香农熵的方差。
类型:长整型
格式:数字
-
file.pe.go_import_hash -
PE 文件中 Go 语言导入的哈希值,不包括标准库导入。即使在重新编译或其他代码级转换发生后(这会改变更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。计算 Go 符号哈希的算法和参考实现可在[此处](https://github.com/elastic/toutoumomoma)找到。
类型:关键字
示例:10bddcb4cee42080f76c88d9ff964491
-
file.pe.go_stripped -
如果文件是其符号已被剥离或混淆的 Go 可执行文件,则设置为 true;如果是非混淆的 Go 可执行文件,则设置为 false。
类型:布尔型
-
file.pe.imports -
导入的元素名称和类型的列表。
类型:扁平化
-
file.pe.imports_names_entropy -
根据导入的元素名称和类型的列表计算的香农熵。
类型:长整型
格式:数字
-
file.pe.imports_names_var_entropy -
根据导入的元素名称和类型的列表计算的香农熵的方差。
类型:长整型
格式:数字
-
file.pe.import_hash -
PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后(这会改变更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。这是 imphash 的同义词。
类型:关键字
-
file.pe.sections -
一个数组,包含 ELF 文件每个节的对象。这些对象中应存在的键由
pe.sections.*下的子字段定义。类型:嵌套
-
file.pe.sections.entropy -
根据节计算的香农熵。
类型:长整型
格式:数字
-
file.pe.sections.var_entropy -
根据节计算的香农熵的方差。
类型:长整型
格式:数字
-
file.pe.sections.name -
PE 节列表名称。
类型:关键字
-
file.pe.sections.physical_size -
PE 节列表物理大小。
类型:长整型
格式:字符串
-
file.pe.sections.virtual_size -
PE 节列表虚拟大小。
类型:长整型
格式:字符串
文件的哈希值。键是算法名称,值是十六进制编码的摘要值。
-
hash.blake2b_256 -
文件的 BLAKE2b-256 哈希值。
类型:关键字
-
hash.blake2b_384 -
文件的 BLAKE2b-384 哈希值。
类型:关键字
-
hash.blake2b_512 -
文件的 BLAKE2b-512 哈希值。
类型:关键字
-
hash.md5 -
文件的 MD5 哈希值。
类型:关键字
-
hash.sha1 -
文件的 SHA1 哈希值。
类型:关键字
-
hash.sha224 -
文件的 SHA224 哈希值。
类型:关键字
-
hash.sha256 -
文件的 SHA256 哈希值。
类型:关键字
-
hash.sha384 -
文件的 SHA384 哈希值。
类型:关键字
-
hash.sha3_224 -
文件的 SHA3_224 哈希值。
类型:关键字
-
hash.sha3_256 -
文件的 SHA3_256 哈希值。
类型:关键字
-
hash.sha3_384 -
文件的 SHA3_384 哈希值。
类型:关键字
-
hash.sha3_512 -
文件的 SHA3_512 哈希值。
类型:关键字
-
hash.sha512 -
文件的 SHA512 哈希值。
类型:关键字
-
hash.sha512_224 -
文件的 SHA512/224 哈希值。
类型:关键字
-
hash.sha512_256 -
文件的 SHA512/256 哈希值。
类型:关键字
-
hash.xxh64 -
文件的 XX64 哈希值。
类型:关键字