ELF 头字段
编辑ELF 头字段
编辑这些字段包含 Linux 可执行链接格式 (ELF) 元数据。
这些字段处于测试阶段,可能会发生更改。
ELF 头字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
ELF 文件的机器架构。 类型: keyword 示例: |
扩展 |
|
|
ELF 文件的字节序。 类型: keyword 示例: |
扩展 |
|
|
ELF 文件的 CPU 类型。 类型: keyword 示例: |
扩展 |
|
|
尽可能从文件元数据中提取。指示其构建或编译时间。恶意软件创建者也可以伪造它。 类型: date |
扩展 |
|
|
导出的元素名称和类型的列表。 类型: flattened 注意: 此字段应包含一个值数组。 |
扩展 |
|
|
ELF 文件中 Go 语言导入的哈希值,不包括标准库导入。即使在重新编译或发生其他代码级转换后(这会更改更传统的哈希值),导入哈希也可用于识别二进制文件。 用于计算 Go 符号哈希的算法和参考实现可在[此处](https://github.com/elastic/toutoumomoma)找到。 类型: keyword 示例: |
扩展 |
|
|
导入的 Go 语言元素名称和类型的列表。 类型: flattened |
扩展 |
|
|
来自 Go 导入列表的香农熵计算。 类型: long |
扩展 |
|
|
来自 Go 导入列表的香农熵计算的方差。 类型: long |
扩展 |
|
|
如果文件是其符号已被剥离或混淆的 Go 可执行文件,则设置为 true;如果是非混淆的 Go 可执行文件,则设置为 false。 类型: boolean |
扩展 |
|
|
ELF 应用二进制接口 (ABI) 的版本。 类型: keyword |
扩展 |
|
|
ELF 文件的头类。 类型: keyword |
扩展 |
|
|
ELF 头的数据表。 类型: keyword |
扩展 |
|
|
ELF 文件的头入口点。 类型: long |
扩展 |
|
|
原始 ELF 文件为“0x1”。 类型: keyword |
扩展 |
|
|
Linux 操作系统的应用二进制接口 (ABI)。 类型: keyword |
扩展 |
|
|
ELF 文件的头类型。 类型: keyword |
扩展 |
|
|
ELF 头的版本。 类型: keyword |
扩展 |
|
|
ELF 文件中导入的哈希值。即使在重新编译或发生其他代码级转换后(这会更改更传统的哈希值),导入哈希也可用于识别二进制文件。 这是 Windows PE imphash 的 ELF 实现。 类型: keyword 示例: |
扩展 |
|
|
导入的元素名称和类型的列表。 类型: flattened 注意: 此字段应包含一个值数组。 |
扩展 |
|
|
来自导入的元素名称和类型列表的香农熵计算。 类型: long |
扩展 |
|
|
来自导入的元素名称和类型列表的香农熵计算的方差。 类型: long |
扩展 |
|
|
一个数组,包含 ELF 文件每个节的对象。 这些对象中应存在的键由 类型: nested 注意: 此字段应包含一个值数组。 |
扩展 |
|
|
节的卡方概率分布。 类型: long |
扩展 |
|
|
来自节的香农熵计算。 类型: long |
扩展 |
|
|
ELF 节列表标志。 类型: keyword |
扩展 |
|
|
ELF 节列表名称。 类型: keyword |
扩展 |
|
|
ELF 节列表偏移量。 类型: keyword |
扩展 |
|
|
ELF 节列表物理大小。 类型: long |
扩展 |
|
|
ELF 节列表类型。 类型: keyword |
扩展 |
|
|
来自节的香农熵计算的方差。 类型: long |
扩展 |
|
|
ELF 节列表虚拟地址。 类型: long |
扩展 |
|
|
ELF 节列表虚拟大小。 类型: long |
扩展 |
|
|
一个数组,包含 ELF 文件每个段的对象。 这些对象中应存在的键由 类型: nested 注意: 此字段应包含一个值数组。 |
扩展 |
|
|
ELF 对象段节。 类型: keyword |
扩展 |
|
|
ELF 对象段类型。 类型: keyword |
扩展 |
|
|
此 ELF 对象使用的共享库列表。 类型: keyword 注意: 此字段应包含一个值数组。 |
扩展 |
|
|
ELF 文件的 telfhash 符号哈希。 类型: keyword |
扩展 |
字段重用
编辑elf 字段应嵌套在
-
file.elf -
process.elf
另请注意,elf 字段不应直接在事件的根目录下使用。