Erfahren Sie mehr über die Attribute, die in Portable Executable (PE)-Dateien eingebettet sind, die der Incident Response Evidence Collection Playbook, die Collect Evidence-Aufgabe und das Trend Micro Incident Response Toolkit sammeln.
 |
HinweisPE-Dateiattribute können in mehreren Evidenzkategorien erscheinen, einschließlich
Dienstinformationen und Systemausführungsinformationen.
|
| Attribut | Beschreibung |
|
Dateipfad
|
Der absolute Pfad der Datei.
|
|
Dateigröße
|
Die Größe der Datei in Byte.
|
|
SHA1
|
Der SHA1-Hash des Dateiinhalts.
|
|
Benutzerkonto
|
Der Kontoname oder die Sicherheitskennung, die mit der Datei verknüpft ist.
|
|
Benutzerdomäne
|
Der Domänenname des Sicherheitsidentifikators, der mit der Datei verknüpft ist.
|
|
Dateierweiterung
|
Das Suffix, das das Dateiformat der Datei angibt.
|
|
True-File-Type
|
Der Dateityp, wie durch Signaturen im Dateikopf bestimmt.
|
|
Katalog signiert
|
Ein Hinweis darauf, ob die Datei eine digitale Signatur in der Katalogdatei enthält.
|
|
Eingebettete Signatur
|
Ein Hinweis darauf, ob die Signatur der eingebetteten PE-Datei verifiziert ist.
|
|
Katalogunterzeichner
|
Der Unterzeichner der digitalen Signatur in der Katalogdatei.
|
|
Eingebetteter Unterzeichner
|
Der Unterzeichner der digitalen Signatur in der eingebetteten PE-Datei.
|
|
Kompilierter Zeitstempel
|
Die Zeit, zu der die PE-Datei kompiliert wurde.
|
|
Importtabellen-Hash
|
Der MD5-Hash der importierten Funktionen in der PE-Datei.
|
|
Linker-Version
|
Versionsnummer des Dateiverknüpfers
|
|
Dateiversion
|
Die Dateiversionsnummer wird in vier 16-Bit-Ganzzahlen dargestellt.
|
|
Debug-Pfade
|
Die Dateipfade aller vorhandenen Debug-Informationen.
|
|
Subsystem
|
Das für die Ausführung des Abbilds erforderliche Windows-Subsystem.
|
|
Firmenname
|
Der interne Firmenname, als die Datei kompiliert wurde.
|
|
Dateibeschreibung
|
Die interne Beschreibung der Datei, als die Datei kompiliert wurde.
|
|
Interner Name
|
Der interne Name für die Datei.
|
|
Erstellungszeit
|
Die Zeit, zu der die Datei im Dateisystem erstellt wurde.
|
|
Änderungszeit
|
Das letzte Mal, als die Datei im Dateisystem geändert wurde.
|
|
Zugriffszeit
|
Das letzte Mal, als die Datei im Dateisystem zugegriffen wurde.
|