ポータブル実行可能ファイル (PE) に埋め込まれた属性について学びます。インシデント対応エビデンス収集Playbook、エビデンス収集タスク、およびトレンドマイクロインシデント対応ツールキットが収集します。
| 属性 | 説明 |
|
ファイルパス
|
ファイルの絶対パス。
|
|
ファイルサイズ
|
ファイルのサイズ (バイト単位)。
|
|
SHA1
|
ファイル内容のSHA1ハッシュ。
|
|
ユーザアカウント
|
ファイルに関連付けられたアカウント名またはセキュリティ識別子。
|
|
ユーザドメイン
|
ファイルに関連付けられたセキュリティ識別子のドメイン名。
|
|
ファイル拡張子
|
ファイルの形式を示す接尾辞。
|
|
実際のファイルタイプ
|
ファイルヘッダー内のシグネチャによって決定されるファイルの種類。
|
|
カタログが署名されました
|
カタログファイルにデジタル署名が含まれているかどうかの指標。
|
|
埋め込み署名済み
|
埋め込まれたPEファイルの署名が検証されているかどうかの指標。
|
|
カタログ署名者
|
カタログファイル内のデジタル署名の署名者。
|
|
埋め込み署名者
|
埋め込まれたPEファイルのデジタル署名の署名者。
|
|
コンパイルされたタイムスタンプ
|
PEファイルがコンパイルされた時刻。
|
|
インポートテーブルハッシュ
|
PEファイル内のインポートされた関数のMD5ハッシュ。
|
|
リンカーバージョン
|
ファイルリンカーのバージョン番号。
|
|
ファイルバージョン
|
ファイルのバージョン番号は4つの16ビット整数で表されます。
|
|
デバッグパス
|
存在するデバッグ情報のファイルパス。
|
|
サブシステム
|
イメージを実行するために必要なWindowsサブシステム。
|
|
会社名
|
ファイルがコンパイルされたときの内部会社名。
|
|
ファイルの説明
|
ファイルがコンパイルされたときのファイルの内部説明。
|
|
内部名
|
ファイルの内部名。
|
|
作成時刻
|
ファイルシステムでファイルが作成された時刻。
|
|
変更時間
|
ファイルシステムでファイルが最後に変更された時刻。
|
|
アクセス時間
|
ファイルシステムでファイルに最後にアクセスされた時刻。
|