- Elastic 通用架构 (ECS) 参考其他版本
- 概述
- 使用 ECS
- ECS 字段参考
- 基础字段
- 代理字段
- 自治系统字段
- 客户端字段
- 云字段
- 代码签名字段
- 容器字段
- 数据流字段
- 目标字段
- 设备字段
- DLL 字段
- DNS 字段
- ECS 字段
- ELF 头部字段
- 电子邮件字段
- 错误字段
- 事件字段
- FaaS 字段
- 文件字段
- 地理位置字段
- 组字段
- 哈希字段
- 主机字段
- HTTP 字段
- 接口字段
- 日志字段
- Mach-O 头部字段
- 网络字段
- 观察者字段
- 编排器字段
- 组织字段
- 操作系统字段
- 软件包字段
- PE 头部字段
- 进程字段
- 注册表字段
- 相关字段
- 风险信息字段
- 规则字段
- 服务器字段
- 服务字段
- 源字段
- 威胁字段
- TLS 字段
- 跟踪字段
- URL 字段
- 用户字段
- 用户代理字段
- VLAN 字段
- 卷字段
- 漏洞字段
- x509 证书字段
- ECS 分类字段
- 迁移到 ECS
- 其他信息
- 发行说明
Mach-O 头部字段
编辑Mach-O 头部字段
编辑这些字段包含 Mac OS Mach 对象文件格式 (Mach-O) 元数据。
这些字段处于 Beta 阶段,可能会发生变化。
Mach-O 头部字段详细信息
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
Mach-O 文件中 Go 语言导入的哈希值,不包括标准库导入。即使在重新编译或其他代码级转换发生后(这将更改更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。 用于计算 Go 符号哈希的算法和参考实现可在此处获得 [here](https://github.com/elastic/toutoumomoma)。 类型:关键字 示例: |
扩展 |
|
|
导入的 Go 语言元素名称和类型的列表。 类型:扁平化 |
扩展 |
|
|
来自 Go 导入列表的香农熵计算。 类型:长整型 |
扩展 |
|
|
来自 Go 导入列表的香农熵计算的方差。 类型:长整型 |
扩展 |
|
|
如果文件是已剥离或混淆符号的 Go 可执行文件,则设置为 true;如果是非混淆的 Go 可执行文件,则设置为 false。 类型:布尔值 |
扩展 |
|
|
Mach-O 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后(这将更改更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。 这是 symhash 的同义词。 类型:关键字 示例: |
扩展 |
|
|
导入的元素名称和类型的列表。 类型:扁平化 注意:此字段应包含一个值数组。 |
扩展 |
|
|
来自导入的元素名称和类型列表的香农熵计算。 类型:长整型 |
扩展 |
|
|
来自导入的元素名称和类型列表的香农熵计算的方差。 类型:长整型 |
扩展 |
|
|
包含 Mach-O 文件每个部分的对象的数组。 这些对象中应存在的键由 类型:嵌套 注意:此字段应包含一个值数组。 |
扩展 |
|
|
来自该部分的香农熵计算。 类型:长整型 |
扩展 |
|
|
Mach-O 部分列表名称。 类型:关键字 |
扩展 |
|
|
Mach-O 部分列表物理大小。 类型:长整型 |
扩展 |
|
|
来自该部分的香农熵计算的方差。 类型:长整型 |
扩展 |
|
|
Mach-O 部分列表虚拟大小。这始终与 类型:长整型 |
扩展 |
|
|
Mach-O 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后(这将更改更传统的哈希值),导入哈希也可用于对二进制文件进行指纹识别。 这是 Windows PE imphash 的 Mach-O 实现 类型:关键字 示例: |
扩展 |
字段重用
编辑预计 macho 字段将嵌套在
-
file.macho -
process.macho
另请注意,不希望在事件的根目录处直接使用 macho 字段。
On this page