ClientModule
ClientModuleは、クライアントプロセスを持つWmiExecutionとWmiQuery操作との組み合わせでのみ使用できます。クライアントプロセスは、WMIメソッドを実際に実行したプロセスです。
プロパティ |
タイプ |
説明 |
例 |
|---|---|---|---|
AugurScore |
Int |
ESET機械学習エンジンによるスコアの数字。可能な値は0から99です |
67 |
CompanyName |
String |
バージョン情報に含まれる、ファイルを作成した会社の名前 |
"Microsoft Corporation" |
DaysSinceLastNearMiss |
Int |
ファイルがニアミスとして認識されてからの日数。 ニアミス - マルウェアが原因で検出がトリガーされますが、誤検知である可能性があります(マルウェアであることを保証することができない) |
|
EmulationStatus |
Int |
ファイルエミュレーションのステータス(ファイルがアドバンスドヒューリスティックによってエミュレートされた場合) |
0 - エミュレートされませんでした 1 - エミュレートされました |
FileDescription |
String |
バージョン情報に含まれる、ユーザーに表示されるファイルの説明 |
"Microsoft Windows Resource Leak Diagnostic" |
FileOrigin |
RDP経由で配信されるファイル |
可能な値は、以下のとおりです。 0 - RDP |
|
FileSize |
Int |
ファイルサイズ(バイト単位) |
41984 |
FileVersion |
String |
バージョン情報に含まれる、ファイルのバージョン番号 |
"10.0.14393.0" |
InternalName |
String |
バージョン情報に含まれる、ファイルの内部名 |
"RdrLeakDiag.exe" |
IsDLL |
Bool |
ファイルはPE DLLです |
true/false |
IsElf |
Bool |
ファイルはELFファイルです |
true/false |
IsExe |
Bool |
このファイルは実行可能ファイルです |
true/false |
IsMacho |
Bool |
ファイルがMach-O (macOS)ファイルかどうかを定義します |
true/false |
IsNative |
Bool |
このファイルはネイティブPE実行可能ファイルです |
true/false |
isPe |
Bool |
ファイルはWindows実行可能ファイルです |
true/false |
MD5 |
ハッシュ |
実行可能ファイルのmd5ハッシュ |
|
MachoIsProtected |
Bool |
モジュールは保護されたMach-O実行可能ファイルです |
|
MachoSignatureId |
String |
署名に存在するMach-Oファイルの識別子 |
"com.apple.ls" |
MachoSignerCns |
文字列のセット |
Mach-Oファイルの証明書の共通名セット |
|
MachoUserId |
String |
Appleによって割り当てられた一意の開発者ID |
|
OriginalFileName |
String |
バージョン情報に含まれる、ファイルの元の名前 |
"RdrLeakDiag.exe" |
PackerName1 |
String |
パッカーの名前 |
"UPX" |
ProductName |
String |
バージョン情報に含まれる、ファイルが配布される製品の名前 |
"Microsoft Windows Operating System" |
ProductVersion |
String |
バージョン情報に含まれる、ファイルが配布される製品のバージョン数 |
"10.0.14393" |
SFXName |
String |
sfxパッカーの名前 |
"Zip" |
Sha1 |
ハッシュ |
実行可能ファイルのsha1ハッシュ |
fa7ebffd41bc44c47ea1b11928ee368c19f6d6a2 |
Sha256 |
ハッシュ |
実行可能ファイルのsha256ハッシュ |
|
SignatureType |
実行可能ファイルの署名タイプ |
可能な値は、以下のとおりです。 •90—Trusted - 署名はエンドポイントによって信頼されています •80—Valid - 署名はOSによって信頼されています •75—Adhoc—証明書は自己署名です。 •70—None - ファイルに署名がありません •60—Invalid - 署名が無効/破損/失効しています •50—Present - 署名は存在しますが、証明書のステータスは不明です。 •50—Unknown - 証明書の検証に失敗しました。 |
|
SignerName |
String |
署名者の名前(存在する場合) |
"Microsoft Windows" |
Tags |
String |
ユーザーは指定したタグが添付されているモジュールでフィルタリングできます |
|
Whitelist |
実行可能ファイルのホワイトリストタイプ |
可能な値は、以下のとおりです。 •0—None - このファイルはホワイトリストに登録されていません •1—Authoritative - ファイルはエンドポイントによってホワイトリストに登録されています •2—LiveGrid - ファイルはESET LiveGridのホワイトリストに登録されています •3—Certificate - ファイル証明書はホワイトリストに登録されています |
|
1パッカーの名前は今後変更される可能性があります。そのため、条件にisnotemptyまたはisempty値を使用することをお勧めします。 |
セット型(IPv4アドレスのセット、IPv6アドレスのセット集合、文字列のセット、シンボルのセット)に対応している条件は、値のセットにあるプロパティタイプ&関係テーブルに一覧表示されます。
サポートされている操作
•WmiExecution
•WmiQuery