样本内容：静态分析信息-通用部分

静态信息是样本的重要内容，从中能够看到基于样本二进制内容所产生的分析结果。

一、文件基本信息

文件基本信息是样本通用的内容，其中包括样本Hash特征、相似性Hash特征、CRC32校验及类型、大小等内容。

二、文件格式信息

文件格式信息是指针对文件二进制编码标识中指定的文件类型，使用对应的文件类型解析格式进行解析之后的结果。

平台支持多种文件格式，其中包括：PE、APK、ELF等文件类型。

详情见相关介绍内容。

三、代码签名信息

样本的代码签名中包含了样本程序的开发者信息，是识别样本的直接内容。

1、文件版权信息

根据具体的业务需求，PE文件开发者会在PE文件中标记版权信息。提取的版权信息内容包括：

• 版权：文件的版权声明；
• 描述：文件的自述信息；
• 源名称：文件的原始名称；
• 内部名称：文件的内部声明名称；
• 文件版本：文件版本号；
• 产品：产品信息。

2、签名及证书信息

代码签名中的核心内容是签名和证书，平台提供以下5部分内容。

（1）签名有效性

在提取证书信息的同时会验证签名有效性，其中包括签名本身的合法性，以及被签名文件的完整性。

（2）签名时间

文件代码签名的时间。

（3）代码签名

代码签名部分有两个内容：

• 证书链
• 证书链上的证书摘要，其中包括：证书指纹（SHA-1）、证书编号、签名算法、证书颁发者、证书名称、证书有效期、证书应用类型、证书状态。

（4）代码签名核准签名

此部分内容与代码签名部分内容格式一致，这里是为代码签名进行担保核准的签名信息。

（5）文件内证书信息

对于一些特殊的应用业务，其中会内置一些应用证书信息。这些应用证书信息会在这里单独存储，每个证书的内容包括：证书指纹（SHA-1）、证书编号、签名算法、证书颁发者、证书名称、证书有效期、证书应用类型、证书状态。

四、Exiftool工具

Exiftool 是Phil Harvey以Perl写成的免费开源软件，可读写及处理图像、视频及音频的元数据信息，例如Exif、IPTC、XMP、JFIF、GeoTIFF、ICC Profile。

在平台中，使用Exiftool工具向用户提供额外的文件静态信息，帮助用户更好地了解文件特性。

五、文件摘要信息

除了上述的结构化文件静态信息之外，平台还向用户提供二进制和内容相关的静态信息数据。这些数据在撰写分析规则和了解文件内容有重要帮助。

• Hex：Hex内容是文件的头部二进制数据信息；
• Strings：文件内部的字符串信息；
• OCR string：文件界面上利用OCR技术提取的字符串信息。