FileItem
Повертає інформацію про поточний файл.
Властивість |
Тип |
Опис |
Приклад |
|---|---|---|---|
ADS |
Рядок |
Частина ADS шляху |
C:\windows\system32\notepad.exe:example -> example |
Extension |
Рядок |
Розширення файлу |
C:\windows\system32\notepad.exe -> exe |
FileName |
Рядок |
Ім’я файлу з розширенням файлу |
C:\windows\system32\notepad.exe -> notepad.exe |
FileNameWithoutExtension |
Рядок |
Ім’я файлу без розширення |
C:\windows\system32\notepad.exe -> notepad |
FullPath |
Шлях |
Шлях до файлу (містить назву файлу) |
C:\windows\system32\notepad.exe -> C:\windows\system32\notepad.exe |
NameLength |
Int |
Довжина імені |
C:\windows\system32\notepad.exe -> 7 |
Path |
Шлях |
Шлях до файлу |
C:\windows\system32\notepad.exe -> C:\windows\system32\ |
isSelf |
Логічне значення |
Активується, якщо файл виконує самозастосовну операцію (зазвичай зловмисне програмне забезпечення видаляється через самовидалення) |
Значення true або false |
Файл-сигналізатор
Властивості шляху мають спеціальну змінну для файлів-сигналізаторів. Для визначення шляху до файлу-сигналізатора використовується значення %CanaryFile%.
<definition> <operations> <operation type="WriteFile"> <condition component="FileItem" property="Path" condition="is" value="%CanaryFile%" /> </operation> </operations> </definition> |
Підтримувані операції
•Codeinjection
•CreateNamedPipe
•CreateProcess
•DeleteFile
•LoadDLL
•LoadDriver
•ModuleDrop
•OpenProcess
•ReadFile
•RenameFile
•ScheduledTaskAdded
•ServiceInstalled
•ServiceStarted
•SetFileAttribute
•TruncateFile
•UnloadDriver
•VirtualDiskMounted
•WmiExecution
•WriteFile