Module

AugurScore

整型

ESET 机器学习引擎的得分。可能的值为 0 至 99

67

CompanyName

字符串

版本信息中，生成文件的公司的名称

"Microsoft Corporation"

DaysSinceLastNearMiss

整型

自文件被认定为险情以来的天数。

Nearmiss - 检测是由于恶意软件而触发的，但它可能是误报（我们不能保证它是恶意软件）

EmulationStatus

整型

文件模拟的状态（如果文件是通过高级启发式扫描模拟的）

0 - 未模拟

1 - 已模拟

FileDescription

字符串

版本信息中，向用户显示的文件说明

"Microsoft Windows Resource Leak Diagnostic"

FileOrigin

Symbol

通过 RDP 传送的文件

可能的值为：

0—RDP

FileSize

整型

以字节为单位的文件大小

41984

FileVersion

字符串

版本信息中，文件的版本号

"10.0.14393.0"

InternalName

字符串

版本信息中，文件的内部名称

"RdrLeakDiag.exe"

IsDLL

布尔值

该文件是 PE DLL

true/false

IsElf

布尔值

该文件是 ELF 文件

true/false

IsExe

布尔值

该文件为可执行文件

true/false

IsMacho

布尔值

定义某一文件是否为 Mach-O (macOS) 文件

true/false

IsNative

布尔值

该文件是本机 PE 可执行文件

true/false

isPe

布尔值

该文件是 Windows 可执行文件

true/false

MD5

哈希

可执行文件的 md5 哈希

MachoIsProtected

布尔值

模块是受保护的 Mach-O 可执行文件

MachoSignatureId

字符串

签名中存在的 Mach-O 文件的标识符

"com.apple.ls"

MachoSignerCns

字符串集

Mach-O 文件的证书中的常用名称集

MachoUserId

字符串

Apple 分配的唯一开发者 ID

OriginalFileName

字符串

版本信息中，文件的原始名称

"RdrLeakDiag.exe"

PackerName1

字符串

加壳程序的名称

"UPX"

ProductName

字符串

版本信息中，用于分发文件的产品的名称

"Microsoft Windows Operating System"

ProductVersion

字符串

版本信息中，用于分发文件的产品的版本号

"10.0.14393"

SFXName

字符串

sfx 加壳程序的名称

"Zip"

Sha1

哈希

可执行文件的 sha1 哈希

fa7ebffd41bc44c47ea1b11928ee368c19f6d6a2

Sha256

哈希

可执行文件的 sha256 哈希

SignatureType

Symbol

可执行文件的签名类型

可能的值为：

•90—Trusted - 签名受 Endpoint 信任

•80—Valid - 签名受操作系统信任

•75—Adhoc - 证书是自签名的

•70—None - 文件中没有签名

•60—Invalid - 签名无效/损坏/撤销

•50—Present - 签名存在，但证书状态未知

•50—Unknown - 无法验证证书

SignerName

字符串

签名者姓名（如有）

"Microsoft Windows"

Tags

字符串

允许用户按附加了指定标记的模块进行过滤

Whitelist

Symbol

可执行文件的白名单类型

可能的值为：

•0—None - 此文件没有白名单

•1—Authoritative - 文件被 Endpoint 列入白名单

•2—LiveGrid - 文件已从 ESET LiveGrid 列入白名单

•3—Certificate - 文件证书已列入白名单