Mach-O 头部字段
编辑Mach-O 头部字段
编辑这些字段包含 Mac OS Mach 对象文件格式 (Mach-O) 元数据。
这些字段处于 Beta 阶段,可能会发生变化。
Mach-O 头部字段详细信息
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
Mach-O 文件中 Go 语言导入的哈希值,不包括标准库导入。即使在重新编译或其他代码级转换发生后(这将更改更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。 用于计算 Go 符号哈希的算法和参考实现可在此处获得 [here](https://github.com/elastic/toutoumomoma)。 类型:关键字 示例: |
扩展 |
|
|
导入的 Go 语言元素名称和类型的列表。 类型:扁平化 |
扩展 |
|
|
来自 Go 导入列表的香农熵计算。 类型:长整型 |
扩展 |
|
|
来自 Go 导入列表的香农熵计算的方差。 类型:长整型 |
扩展 |
|
|
如果文件是已剥离或混淆符号的 Go 可执行文件,则设置为 true;如果是非混淆的 Go 可执行文件,则设置为 false。 类型:布尔值 |
扩展 |
|
|
Mach-O 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后(这将更改更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。 这是 symhash 的同义词。 类型:关键字 示例: |
扩展 |
|
|
导入的元素名称和类型的列表。 类型:扁平化 注意:此字段应包含一个值数组。 |
扩展 |
|
|
来自导入的元素名称和类型列表的香农熵计算。 类型:长整型 |
扩展 |
|
|
来自导入的元素名称和类型列表的香农熵计算的方差。 类型:长整型 |
扩展 |
|
|
包含 Mach-O 文件每个部分的对象的数组。 这些对象中应存在的键由 类型:嵌套 注意:此字段应包含一个值数组。 |
扩展 |
|
|
来自该部分的香农熵计算。 类型:长整型 |
扩展 |
|
|
Mach-O 部分列表名称。 类型:关键字 |
扩展 |
|
|
Mach-O 部分列表物理大小。 类型:长整型 |
扩展 |
|
|
来自该部分的香农熵计算的方差。 类型:长整型 |
扩展 |
|
|
Mach-O 部分列表虚拟大小。这始终与 类型:长整型 |
扩展 |
|
|
Mach-O 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后(这将更改更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。 这是 Windows PE imphash 的 Mach-O 实现 类型:关键字 示例: |
扩展 |
字段重用
编辑预计 macho 字段将嵌套在
-
file.macho -
process.macho
另请注意,不希望在事件的根目录处直接使用 macho 字段。