Module
Повертає інформацію про поточний модуль.
Властивість |
Тип |
Опис |
Приклад |
|---|---|---|---|
AugurScore |
Int |
Оцінка за системою машинного навчання ESET. Можливі значення: від 0 до 99 |
67 |
CompanyName |
Рядок |
Компанія, яка створила файл (за даними з відомостей про версію) |
"Microsoft Corporation" |
DaysSinceLastNearMiss |
Int |
Кількість днів, що минули з того моменту, як файл було визнано потенційно небезпечним. Потенційно небезпечний файл: виявлення ініціюється через шкідливе програмне забезпечення, але воно може бути помилковим спрацьовуванням (ми не можемо гарантувати, що це шкідливе програмне забезпечення) |
|
EmulationStatus |
Int |
Стан емуляції файлу (якщо файл емульовано з використанням розширеної евристики) |
0: не було емульовано 1: було емульовано |
FileDescription |
Рядок |
Опис файлу, який відображається користувачам (за даними з відомостей про версію) |
"Microsoft Windows Resource Leak Diagnostic" |
FileOrigin |
Файл доставлено через RDP |
Можливі значення: 0—RDP |
|
FileSize |
Int |
Розмір файлу в байтах |
41984 |
FileVersion |
Рядок |
Номер версії файлу (за даними з відомостей про версію) |
"10.0.14393.0" |
InternalName |
Рядок |
Внутрішнє ім’я файлу (за даними з відомостей про версію) |
"RdrLeakDiag.exe" |
IsDLL |
Логічне значення |
Файл є DLL PE |
true/false |
IsElf |
Логічне значення |
Файл є файлом ELF |
true/false |
IsExe |
Логічне значення |
Файл є виконуваним файлом |
true/false |
IsMacho |
Логічне значення |
Визначає, чи є файл файлом Mach-O (macOS) |
true/false |
IsNative |
Логічне значення |
true/false |
|
isPe |
Логічне значення |
Файл є виконуваним файлом Windows |
true/false |
MD5 |
Хеш |
Хеш md5 виконуваного файлу |
|
MachoIsProtected |
Логічне значення |
Модуль є захищеним виконуваним файлом Mach-O |
|
MachoSignatureId |
Рядок |
Ідентифікатор файлу Mach-O, який міститься в підписі |
"com.apple.ls" |
MachoSignerCns |
Набір рядків |
Набір загальних імен із сертифікатів у файлі Mach-O |
|
MachoUserId |
Рядок |
Унікальний ідентифікатор розробника від Apple |
|
OriginalFileName |
Рядок |
Вихідне ім’я файлу (за даними з відомостей про версію) |
"RdrLeakDiag.exe" |
PackerName1 |
Рядок |
Ім’я упакованої шкідливої програми |
"UPX" |
ProductName |
Рядок |
Назва продукту, з яким розповсюджується файл (за даними з відомостей про версію) |
"Microsoft Windows Operating System" |
ProductVersion |
Рядок |
Номер версії продукту, з яким розповсюджується файл (за даними з відомостей про версію) |
"10.0.14393" |
SFXName |
Рядок |
Ім’я упакованої шкідливої програми sfx |
"Zip" |
Sha1 |
Хеш |
Хеш sha1 виконуваного файлу |
fa7ebffd41bc44c47ea1b11928ee368c19f6d6a2 |
Sha256 |
Хеш |
Хеш sha256 виконуваного файлу |
|
SignatureType |
Тип підпису виконуваного файлу |
Можливі значення: •90—Trusted: підпис є довіреним для Endpoint •80—Valid: підпис є довіреним для операційної системи •75—Adhoc: сертифікат із власним підписом •70—None: у файлі немає підпису •60—Invalid: підпис недійсний/пошкоджений/відкликаний •50—Present: підпис є, але статус сертифіката невідомий •50—Unknown: не вдалося перевірити сертифікат |
|
SignerName |
Рядок |
Ім’я особи, яка підписала документ (якщо така є) |
"Microsoft Windows" |
Tags |
Рядок |
Дає користувачу змогу фільтрувати за модулем, до якого додано вказаний тег |
|
Whitelist |
Тип білого списку виконуваного файлу |
Можливі значення: •0—None: для цього файлу немає білого списку •1—Authoritative: файл додано в білий список робочою станцією •2—LiveGrid: файл додано в білий список на основі відомостей від LiveGrid •3—Certificate: сертифікат файлу додано в білий список |
|
1У майбутньому назви упакованих шкідливих програм можуть змінитися. Тому ми рекомендуємо для цієї умови використовувати значення isnotempty або isempty. |
Підтримувані операції
•CodeInjection
•CreateProcess
•LoadDLL
•LoadDriver
•ModuleDrop