次の表は、インシデントレスポンスのエビデンス収集プレイブック、エビデンスの収集タスク、およびトレンドマイクロ Incident Responseツールキット。 PEファイルの属性は、次のような複数のエビデンスカテゴリに表示される場合があります。サービス情報そしてシステム実行情報。
| 属性 | 説明 |
|
ファイルパス
|
ファイルの絶対パス
|
|
ファイルサイズ
|
ファイルのサイズ (バイト)
|
|
SHA1
|
ファイルの内容のSHA1暗号化ハッシュ
|
|
ユーザアカウント
|
ファイルに関連付けられているアカウント名またはセキュリティ識別子
|
|
ユーザドメイン
|
ファイルに関連付けられているセキュリティ識別子のドメイン名
|
|
ファイル拡張子
|
ファイルのファイル形式を示すサフィックス
|
|
実ファイルタイプ
|
ファイルヘッダの署名によって決定されるファイルの種類
|
|
署名されたカタログ
|
カタログファイル内のファイルにデジタル署名が含まれているかどうかを示します。
|
|
埋め込み署名済み
|
埋め込まれたPEファイルの署名が検証されているかどうかを示します。
|
|
カタログ署名者
|
カタログファイルのデジタル署名の署名者
|
|
埋め込み署名者
|
埋め込まれたPEファイルのデジタル署名の署名者
|
|
コンパイルされたタイムスタンプ
|
PEファイルがコンパイルされた時刻
|
|
インポートテーブルハッシュ
|
PEファイル内のインポートされた関数のMD5ハッシュ |
|
リンカーのバージョン
|
ファイルリンカーのバージョン番号
|
|
ファイルのバージョン
|
4つの16ビット整数で表されるファイルバージョン番号
|
|
デバッグパス
|
存在するデバッグ情報のファイルパス
|
|
サブシステム
|
イメージの実行に必要なWindowsサブシステム
|
|
会社名
|
ファイルがコンパイルされたときの社内名
|
|
ファイルの説明
|
ファイルがコンパイルされたときのファイルの内部記述
|
|
内部名
|
ファイルの内部名
|
|
作成時刻
|
ファイルシステムでファイルが作成された時刻
|
|
時刻の変更
|
ファイルシステムでファイルが最後に変更された時刻
|
|
アクセス時間
|
ファイルシステムでファイルが最後にアクセスされた時刻
|