PE 头部字段
编辑PE 头部字段编辑
这些字段包含 Windows 可移植可执行文件 (PE) 元数据。
PE 头部字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
文件的 CPU 架构目标。 类型: keyword 示例: |
扩展 |
|
|
文件的内部公司名称,在编译时提供。 类型: keyword 示例: |
扩展 |
|
|
文件的内部描述,在编译时提供。 类型: keyword 示例: |
扩展 |
|
|
文件的内部版本,在编译时提供。 类型: keyword 示例: |
扩展 |
|
|
PE 文件中 Go 语言导入的哈希值,不包括标准库导入。即使在重新编译或发生其他代码级转换(会更改更传统的哈希值)后,导入哈希值也可用于对二进制文件进行指纹识别。 用于计算 Go 符号哈希的算法和参考实现可在此处获得 [此处](https://github.com/elastic/toutoumomoma)。 类型: keyword 示例: |
扩展 |
|
|
导入的 Go 语言元素名称和类型的列表。 类型: flattened |
扩展 |
|
|
从 Go 导入列表中计算出的香农熵。 类型: long |
扩展 |
|
|
从 Go 导入列表中计算出的香农熵的方差。 类型: long |
扩展 |
|
|
如果文件是已剥离符号或已混淆的 Go 可执行文件,则设置为 true;如果文件是未混淆的 Go 可执行文件,则设置为 false。 类型: boolean |
扩展 |
|
|
PE 文件中导入的哈希值。即使在重新编译或发生其他代码级转换(会更改更传统的哈希值)后,imphash(或导入哈希值)也可用于对二进制文件进行指纹识别。 了解更多信息,请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。 类型: keyword 示例: |
扩展 |
|
|
PE 文件中导入的哈希值。导入哈希值可用于对二进制文件进行指纹识别,即使在重新编译或发生其他代码级转换(会更改更传统的哈希值)后也是如此。 这是 imphash 的同义词。 类型: keyword 示例: |
扩展 |
|
|
导入的元素名称和类型的列表。 类型: flattened 注意: 此字段应包含一个值数组。 |
扩展 |
|
|
从导入的元素名称和类型的列表中计算出的香农熵。 类型: long |
扩展 |
|
|
从导入的元素名称和类型的列表中计算出的香农熵的方差。 类型: long |
扩展 |
|
|
文件的内部名称,在编译时提供。 类型: keyword 示例: |
扩展 |
|
|
PE 头部和一个或多个 PE 部分数据的哈希值。pehash 可用于通过将文件的结构信息转换为哈希值来对文件进行聚类。 了解更多信息,请访问 https://www.usenix.org/legacy/events/leet09/tech/full_papers/wicherski/wicherski_html/index.html。 类型: keyword 示例: |
扩展 |
|
|
文件的内部产品名称,在编译时提供。 类型: keyword 示例: |
扩展 |
|
|
一个数组,包含 PE 文件每个部分的对象。 这些对象中应存在的键由 类型: nested 注意: 此字段应包含一个值数组。 |
扩展 |
|
|
从部分计算出的香农熵。 类型: long |
扩展 |
|
|
PE 部分列表名称。 类型: keyword |
扩展 |
|
|
PE 部分列表物理大小。 类型: long |
扩展 |
|
|
从部分计算出的香农熵的方差。 类型: long |
扩展 |
|
|
PE 部分列表虚拟大小。这始终与 类型: long |
扩展 |
字段重用编辑
pe 字段应嵌套在以下位置:
-
dll.pe -
file.pe -
process.pe
另请注意,pe 字段不应该直接在事件的根目录下使用。