ELF 标头字段
编辑ELF 标头字段编辑
这些字段包含 Linux 可执行可链接格式 (ELF) 元数据。
这些字段处于测试阶段,可能会发生变化。
ELF 标头字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
ELF 文件的机器架构。 类型:关键字 示例: |
扩展 |
|
|
ELF 文件的字节顺序。 类型:关键字 示例: |
扩展 |
|
|
ELF 文件的 CPU 类型。 类型:关键字 示例: |
扩展 |
|
|
尽可能从文件的元数据中提取。表示文件的构建或编译时间。它也可能被恶意软件创建者伪造。 类型:日期 |
扩展 |
|
|
导出元素名称和类型的列表。 类型:扁平化 注意:此字段应包含一个值数组。 |
扩展 |
|
|
ELF 文件中 Go 语言导入的哈希值,不包括标准库导入。导入哈希可用于对二进制文件进行指纹识别,即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)之后也是如此。 用于计算 Go 符号哈希的算法和参考实现可在此处找到 [此处](https://github.com/elastic/toutoumomoma)。 类型:关键字 示例: |
扩展 |
|
|
导入的 Go 语言元素名称和类型的列表。 类型:扁平化 |
扩展 |
|
|
根据 Go 导入列表计算的香农熵。 类型:长整型 |
扩展 |
|
|
根据 Go 导入列表计算的香农熵的方差。 类型:长整型 |
扩展 |
|
|
如果文件是已剥离或混淆符号的 Go 可执行文件,则设置为 true;如果是非混淆的 Go 可执行文件,则设置为 false。 类型:布尔值 |
扩展 |
|
|
ELF 应用程序二进制接口 (ABI) 的版本。 类型:关键字 |
扩展 |
|
|
ELF 文件的标头类。 类型:关键字 |
扩展 |
|
|
ELF 标头的数 据表。 类型:关键字 |
扩展 |
|
|
ELF 文件的标头入口点。 类型:长整型 |
扩展 |
|
|
原始 ELF 文件为“0x1”。 类型:关键字 |
扩展 |
|
|
Linux 操作系统的应用程序二进制接口 (ABI)。 类型:关键字 |
扩展 |
|
|
ELF 文件的标头类型。 类型:关键字 |
扩展 |
|
|
ELF 标头的版本。 类型:关键字 |
扩展 |
|
|
ELF 文件中导入的哈希值。导入哈希可用于对二进制文件进行指纹识别,即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)之后也是如此。 这是 Windows PE imphash 的 ELF 实现。 类型:关键字 示例: |
扩展 |
|
|
导入元素名称和类型的列表。 类型:扁平化 注意:此字段应包含一个值数组。 |
扩展 |
|
|
根据导入元素名称和类型列表计算的香农熵。 类型:长整型 |
扩展 |
|
|
根据导入元素名称和类型列表计算的香农熵的方差。 类型:长整型 |
扩展 |
|
|
一个数组,包含 ELF 文件每个部分的对象。 这些对象中应存在的键由 类型:嵌套 注意:此字段应包含一个值数组。 |
扩展 |
|
|
该部分的卡方概率分布。 类型:长整型 |
扩展 |
|
|
根据该部分计算的香农熵。 类型:长整型 |
扩展 |
|
|
ELF 节列表标志。 类型:关键字 |
扩展 |
|
|
ELF 节列表名称。 类型:关键字 |
扩展 |
|
|
ELF 节列表偏移量。 类型:关键字 |
扩展 |
|
|
ELF 节列表物理大小。 类型:长整型 |
扩展 |
|
|
ELF 节列表类型。 类型:关键字 |
扩展 |
|
|
根据该部分计算的香农熵的方差。 类型:长整型 |
扩展 |
|
|
ELF 节列表虚拟地址。 类型:长整型 |
扩展 |
|
|
ELF 节列表虚拟大小。 类型:长整型 |
扩展 |
|
|
一个数组,包含 ELF 文件每个段的对象。 这些对象中应存在的键由 类型:嵌套 注意:此字段应包含一个值数组。 |
扩展 |
|
|
ELF 对象段部分。 类型:关键字 |
扩展 |
|
|
ELF 对象段类型。 类型:关键字 |
扩展 |
|
|
此 ELF 对象使用的共享库列表。 类型:关键字 注意:此字段应包含一个值数组。 |
扩展 |
|
|
ELF 文件的 telefhash 符号哈希。 类型:关键字 |
扩展 |
字段重用编辑
elf 字段应嵌套在以下位置
-
file.elf -
process.elf
另请注意,elf 字段不应直接在事件的根级别使用。