Mach-O 头部字段
编辑Mach-O 头部字段编辑
这些字段包含 Mac OS Mach 对象文件格式 (Mach-O) 元数据。
这些字段处于测试阶段,可能会发生变化。
Mach-O 头部字段详情编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
Mach-O 文件中 Go 语言导入的哈希值,不包括标准库导入。导入哈希值可以用来对二进制文件进行指纹识别,即使在重新编译或其他代码级转换发生后,这些转换会改变更传统的哈希值。 用于计算 Go 符号哈希值的算法和参考实现可在此处获取 [here](https://github.com/elastic/toutoumomoma). 类型: keyword 示例: |
扩展 |
|
|
导入的 Go 语言元素名称和类型的列表。 类型: flattened |
扩展 |
|
|
来自 Go 导入列表的香农熵计算。 类型: long |
扩展 |
|
|
来自 Go 导入列表的香农熵计算的方差。 类型: long |
扩展 |
|
|
如果文件是经过符号剥离或混淆的 Go 可执行文件,则设置为 true,否则为 false。 类型: boolean |
扩展 |
|
|
Mach-O 文件中导入的哈希值。导入哈希值可以用来对二进制文件进行指纹识别,即使在重新编译或其他代码级转换发生后,这些转换会改变更传统的哈希值。 这是 symhash 的同义词。 类型: keyword 示例: |
扩展 |
|
|
导入的元素名称和类型的列表。 类型: flattened 注意: 此字段应包含一个值的数组。 |
扩展 |
|
|
来自导入的元素名称和类型的列表的香农熵计算。 类型: long |
扩展 |
|
|
来自导入的元素名称和类型的列表的香农熵计算的方差。 类型: long |
扩展 |
|
|
一个数组,包含 Mach-O 文件每个部分的对象。 这些对象中应该存在的键由 类型: nested 注意: 此字段应包含一个值的数组。 |
扩展 |
|
|
来自部分的香农熵计算。 类型: long |
扩展 |
|
|
Mach-O 部分列表名称。 类型: keyword |
扩展 |
|
|
Mach-O 部分列表物理大小。 类型: long |
扩展 |
|
|
来自部分的香农熵计算的方差。 类型: long |
扩展 |
|
|
Mach-O 部分列表虚拟大小。这始终与 类型: long |
扩展 |
|
|
Mach-O 文件中导入的哈希值。导入哈希值可以用来对二进制文件进行指纹识别,即使在重新编译或其他代码级转换发生后,这些转换会改变更传统的哈希值。 这是 Mach-O 对 Windows PE imphash 的实现。 类型: keyword 示例: |
扩展 |
字段重用编辑
预计 macho 字段将嵌套在
-
file.macho -
process.macho
还要注意,macho 字段预计不会直接在事件的根部使用。