代码签名字段
编辑代码签名字段
编辑这些字段包含有关二进制代码签名的信息。
代码签名字段详细信息
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
用于对进程进行签名的哈希算法。 当同一个签名者使用不同的摘要算法多次对文件进行签名时,此值可以区分签名。 类型: keyword 示例: |
扩展 |
|
|
布尔值,用于捕获是否存在签名。 类型: boolean 示例: |
核心 |
|
|
[测试版] 此字段为测试版,可能会有所更改。 用于对进程进行签名的标志。 类型: keyword 示例: |
扩展 |
|
|
用于对进程进行签名的标识符。 用于标识软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。 类型: keyword 示例: |
扩展 |
|
|
有关证书状态的其他信息。 这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度,请保持未填充状态。 类型: keyword 示例: |
扩展 |
|
|
代码签名者的主体名称 类型: keyword 示例: |
核心 |
|
|
用于对进程进行签名的团队标识符。 用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。 类型: keyword 示例: |
扩展 |
|
|
生成和签署代码签名的时间。 类型: date 示例: |
扩展 |
|
|
存储证书链的信任状态。 验证证书链的信任度可能很复杂,此字段应仅由主动检查状态的工具填充。 类型: boolean 示例: |
扩展 |
|
|
布尔值,用于捕获数字签名是否针对二进制内容进行了验证。 如果未检查证书,请保持未填充状态。 类型: boolean 示例: |
扩展 |
字段重用
编辑code_signature 字段预计嵌套在以下位置:
-
dll.code_signature -
file.code_signature -
process.code_signature
另请注意,code_signature 字段不应直接在事件的根目录中使用。