FileItem
返回有关当前文件的信息
属性 |
类型 |
说明 |
示例 |
|---|---|---|---|
ADS |
字符串 |
路径的 ADS 部分 |
C:\windows\system32\notepad.exe:example -> 示例 |
Extension |
字符串 |
文件扩展名 |
C:\windows\system32\notepad.exe -> exe |
FileName |
字符串 |
带文件扩展名的文件名 |
C:\windows\system32\notepad.exe -> notepad.exe |
FileNameWithoutExtension |
字符串 |
不带文件扩展名的文件名 |
C:\windows\system32\notepad.exe -> notepad |
FullPath |
路径 |
包含文件名的文件路径 |
C:\windows\system32\notepad.exe -> C:\windows\system32\notepad.exe |
NameLength |
整型 |
名称的长度 |
C:\windows\system32\notepad.exe -> 7 |
Path |
路径 |
文件路径 |
C:\windows\system32\notepad.exe -> C:\windows\system32\ |
isSelf |
布尔值 |
如果操作是由文件本身完成的,则触发(常见于恶意软件自行删除) |
true/false |
Canary 文件
Path 属性具有用于 Canary 文件的特殊变量。用于指定 Canary 文件路径的值为 %CanaryFile%。
<definition> <operations> <operation type="WriteFile"> <condition component="FileItem" property="Path" condition="is" value="%CanaryFile%" /> </operation> </operations> </definition> |
支持的行动
•Codeinjection
•CreateNamedPipe
•CreateProcess
•DeleteFile
•LoadDLL
•LoadDriver
•ModuleDrop
•OpenProcess
•ReadFile
•RenameFile
•ScheduledTaskAdded
•ServiceInstalled
•ServiceStarted
•SetFileAttribute
•TruncateFile
•UnloadDriver
•VirtualDiskMounted
•WmiExecution
•WriteFile