了解嵌入在可移植執行檔 (PE) 文件中的屬性,事件響應證據收集劇本、收集證據任務和趨勢科技事件響應工具包所收集的內容。
| 屬性 | 說明 |
|
檔案路徑
|
檔案的絕對路徑。
|
|
檔案大小
|
檔案的大小(位元組)。
|
|
SHA1
|
檔案內容的 SHA1 雜湊值。
|
|
使用者帳號
|
與檔案相關聯的帳號或安全識別碼。
|
|
使用者網域
|
與檔案相關聯的安全識別碼的網域名稱。
|
|
檔案副檔名
|
表示檔案格式的檔案後綴。
|
|
真正的檔案類型
|
檔案類型由檔案標頭中的簽名決定。
|
|
目錄已簽署
|
指示該檔案在目錄檔案中是否包含數位簽章。
|
|
嵌入式簽署
|
嵌入式 PE 文件上的簽章是否已驗證的指示。
|
|
目錄簽署者
|
目錄檔案中數位簽章的簽署者。
|
|
嵌入式簽署者
|
嵌入式 PE 檔案中數位簽章的簽署者。
|
|
編譯時間戳
|
PE 文件的編譯時間。
|
|
匯入表哈希
|
PE 文件中匯入函數的 MD5 雜湊值。
|
|
連結器版本
|
檔案連結器的版本號碼。
|
|
檔案版本
|
檔案版本號以四個16位元整數表示。
|
|
偵錯路徑
|
任何調試信息存在的文件路徑。
|
|
子系統
|
運行映像所需的 Windows 子系統。
|
|
公司名稱
|
檔案編譯時的內部公司名稱。
|
|
檔案描述
|
檔案編譯時的內部描述。
|
|
內部名稱
|
檔案的內部名稱。
|
|
建立時間
|
檔案在檔案系統中建立的時間。
|
|
修改時間
|
檔案在檔案系統中最後一次被修改的時間。
|
|
存取時間
|
檔案上次在檔案系統中被存取的時間。
|