FileItem
現在のファイルに関する情報を返します
プロパティ |
タイプ |
説明 |
例 |
|---|---|---|---|
ADS |
String |
パスのADS部分 |
C:\windows\system32\notepad.exe:example -> 例 |
Extension |
String |
ファイル拡張子 |
C:\windows\system32\notepad.exe -> exe |
FileName |
String |
ファイル拡張子を含むファイル名 |
C:\windows\system32\notepad.exe -> notepad.exe |
FileNameWithoutExtension |
String |
ファイル拡張子を除いたファイル名 |
C:\windows\system32\notepad.exe -> notepad |
FullPath |
パス |
ファイル名を含むファイルパス |
C:\windows\system32\notepad.exe -> C:\windows\system32\notepad.exe |
NameLength |
Int |
名前の長さ |
C:\windows\system32\notepad.exe -> 7 |
Path |
パス |
ファイルパス |
C:\windows\system32\notepad.exe -> C:\windows\system32\ |
isSelf |
Bool |
操作がファイル自体によって行われた場合にトリガーされます(一般的にマルウェアが自身を削除します) |
true/false |
Canaryファイル
パスのプロパティには、Canaryファイル用の特別な変数があります。Canaryファイルへのパスを指定する値は%CanaryFile%です。
<definition> <operations> <operation type="WriteFile"> <condition component="FileItem" property="Path" condition="is" value="%CanaryFile%" /> </operation> </operations> </definition> |
サポートされている操作
•Codeinjection
•CreateNamedPipe
•CreateProcess
•DeleteFile
•LoadDLL
•LoadDriver
•ModuleDrop
•OpenProcess
•ReadFile
•RenameFile
•ScheduledTaskAdded
•ServiceInstalled
•ServiceStarted
•SetFileAttribute
•TruncateFile
•UnloadDriver
•VirtualDiskMounted
•WmiExecution
•WriteFile