跳转到
一、简介
样本高级搜索内容是对样本文件进行多条件组合检索的功能模块。
360安全大脑样本中心对各种类型的文件进行数据属性结构化存储。不同文件类型的样本文件有不同的结构化规则,我们希望建立一套标准的数据检索逻辑,对海量数据进行多条件检索。
二、功能简介
1、通用条件
通用条件内容是根据文件体本身的存储和通用技术内容进行检索的条件组,是所有文件类型样本均具备的检索条件。
- 威胁等级:文件的威胁等级,注意这里是威胁参考等级,由于云端规则的调整会出现部分数据检索结果不同;
- 威胁名称:危险文件的病毒名称内容;
- 文件大小:文件存储空间;
- 文件类型:支持对APK、PE、ELF三大类文件进行检索;
- 幻数类型:即文件的Magic信息,支持用户对详细的Magic内容进行查找;
- 签名信息:样本是否使用了代码签名相关的技术;
- 发现时间:样本收录的时间。
2、证书相关条件
这里指的是样本文件中使用了代码签名技术的相关证书内容。
- 证书指纹:代码签名证书的指纹hash;
- 证书编号:代码签名证书的证书编号,十六进制字符串表示法。
3、方法条用条件
当样本文件引用了外部链接库的方法,或者对外提供方法调用的时候,可以对方法函数的函数名进行检索。
- 导入函数:从外部链接库中调取的方法函数名称;
- 导出函数:对外提供方法调用的方法函数名称。
4、APK文件条件
为APK文件提供的一些专用属性内容。
- APK包名:APK文件的包名;
- APK权限:APK所使用的权限;
- dex哈希:主(class.dex)dex文件的哈希值。
5、PE文件条件
为PE文件提供的一些专用属性内容。
- PE文件节哈希:PE文件中section内容的哈希值;
- imphash:PE文件中的导入表哈希值。