PE 头部字段
编辑PE 头部字段
编辑这些字段包含 Windows 可移植执行文件 (PE) 元数据。
PE 头部字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
文件的目标 CPU 架构。 类型: keyword 示例: |
扩展 |
|
|
文件的内部公司名称,在编译时提供。 类型: keyword 示例: |
扩展 |
|
|
文件的内部描述,在编译时提供。 类型: keyword 示例: |
扩展 |
|
|
文件的内部版本,在编译时提供。 类型: keyword 示例: |
扩展 |
|
|
PE 文件中 Go 语言导入的哈希值,不包括标准库导入。即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)后,导入哈希值也可用于识别二进制文件。 计算 Go 符号哈希的算法和参考实现可在[此处](https://github.com/elastic/toutoumomoma)找到。 类型: keyword 示例: |
扩展 |
|
|
导入的 Go 语言元素名称和类型的列表。 类型: flattened |
扩展 |
|
|
根据 Go 导入列表计算的香农熵。 类型: long |
扩展 |
|
|
根据 Go 导入列表计算的香农熵的方差。 类型: long |
扩展 |
|
|
如果文件是已去除符号或混淆的 Go 可执行文件,则设置为 true;如果是非混淆的 Go 可执行文件,则设置为 false。 类型: boolean |
扩展 |
|
|
PE 文件中导入的哈希值。即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)后,imphash(或导入哈希值)也可用于识别二进制文件。 了解更多信息,请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。 类型: keyword 示例: |
扩展 |
|
|
PE 文件中导入的哈希值。即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)后,导入哈希值也可用于识别二进制文件。 这是 imphash 的同义词。 类型: keyword 示例: |
扩展 |
|
|
导入的元素名称和类型的列表。 类型: flattened 注意:此字段应包含一个值数组。 |
扩展 |
|
|
根据导入的元素名称和类型的列表计算的香农熵。 类型: long |
扩展 |
|
|
根据导入的元素名称和类型的列表计算的香农熵的方差。 类型: long |
扩展 |
|
|
文件的内部名称,在编译时提供。 类型: keyword 示例: |
扩展 |
|
|
PE 头部和一个或多个 PE 段数据的哈希值。pehash 可用于通过将文件的结构信息转换为哈希值来对文件进行聚类。 了解更多信息,请访问 https://www.usenix.org/legacy/events/leet09/tech/full_papers/wicherski/wicherski_html/index.html。 类型: keyword 示例: |
扩展 |
|
|
文件的内部产品名称,在编译时提供。 类型: keyword 示例: |
扩展 |
|
|
一个数组,包含 PE 文件每个段的对象。 这些对象中应存在的键由 类型: nested 注意:此字段应包含一个值数组。 |
扩展 |
|
|
根据段计算的香农熵。 类型: long |
扩展 |
|
|
PE 段列表名称。 类型: keyword |
扩展 |
|
|
PE 段列表物理大小。 类型: long |
扩展 |
|
|
根据段计算的香农熵的方差。 类型: long |
扩展 |
|
|
PE 段列表虚拟大小。这始终与 类型: long |
扩展 |
字段重用
编辑预期 pe 字段嵌套在
-
dll.pe -
file.pe -
process.pe
另请注意,不应直接在事件的根目录下使用 pe 字段。