参考自微步在线云API

文件信誉报告

获取文件详细的静态分析&动态分析报告,包括文件的概要信息、网络行为、行为签名、静态信息、释放行为、进程行为、反病毒扫描引擎检测结果。

请求参数说明

序号 参数名称 必选 类型 描述
1 apikey string API请求的身份识别标识。
2 sha256 string 文件的 sha256 值,用于获取分析报告。为方便查询报告,sha256 可以替换成 md5 或 sha1。
3 sandbox_type 可选 string 沙箱运行环境,用户可以指定文件的沙箱运行环境,可选环境包括:
- Windows
win7_sp1_enx64_office2013
win7_sp1_enx86_office2013
win7_sp1_enx86_office2010
win7_sp1_enx86_office2007
win7_sp1_enx86_office2003
- Linux
ubuntu_1704_x64
centos_7_x64
4 query_fields 可选 string 文件分析报告,默认获取全部,可选数据包括:
- summary
- network
- signature
- static
- dropped
- pstree
- multiengines

响应参数说明

序号 参数名称 类型 描述
1 response_code int 响应正常会返回”0”。
其他Response code及对应msg描述参见”响应Code和Msg对照表
2 verbose_msg string 响应正常会返回”Ok”。
其他Response code及对应msg描述参见”响应Code和Msg对照表
3 multiengines object 反病毒扫描引擎检测结果。JSON对象,具体内容项描述如下:
- result: 每个扫描引擎检测结果说明如下:
无检出:显示为safe。
有检出:显示具体的检出的病毒结果标签。如:Trojan。
- scan_time:多引擎扫描样本的具体时间。示例如:2019-10-22 16:17:48
4 summary object 概要信息。JSON对象,具体内容项描述如下:
- threat_level:威胁等级。分为Malicious(恶意)、suspicious(可疑)、clean(安全)三类。
- submit_time:文件提交时间,示例如:2019-01-22 17:36:21。
- file_name:文件名称。
- file_type:文件类型。
- sample_sha256:文件的 Hash 值。
- tag:标签。JSON对象,包含内容项如下:
- s:静态标签。JSON数组。如:”时间戳异常”等。部分常见标签参见: 部分常见样本标签
- x:反病毒引擎检测标签。JSON数组。如:”Trojan”等。
- threat_score:威胁评分值。
- sandbox_type:沙箱运行环境。运行环境全集参见: 沙箱运行环境全集
- multi_engines:反病毒扫描引擎检出率。如”7/25”。
5 signature array 行为签名。JSON数组,每个item包含内容项如下:
- severity: 严重等级,int类型。数字越高等级越高。
- references: 引用, JSON数组。
- sig_class: 签名分类。字符串类型。
- name: 签名名称。字符串类型。
- description: 行为描述。
- markcount:标记计数, int类型。
- marks: 签名原始数据,JSON数组。
- families: 样本家族,JSON数组。
- attck_id: ATT&CK ID,int类型。
- attck_info: ATT&CK 详情,JSON数组。
6 static object 静态信息。JSON对象。所有静态信息报告响应示例参见附录: 文件静态信息报告响应示例全集
7 pstree object 进程行为。
8 network object 网络行为。
- tls: TLS协议,JSON数组。
- udp: UDP协议,JSON数组。
- dns_servers: DNS服务,JSON数组。
- http: HTTP协议,JSON数组。
- irc: IRC 协议,JSON数组。
- smtp: SMTP协议,JSON数组。
- tcp: TCP协议,JSON数组。
- smtp_ex: SMTP 协议数据扩充,JSON数组。
- mitm: 中间人,JSON数组。
- hosts: 网络主机,JSON数组。
- dns: 域名系统,JSON数组。
- http_ex: HTTP 协议数据扩充,JSON数组。
- domains: 域名,JSON数组。
- dead_hosts: 失联主机,JSON数组。
- icmp: ICMP协议,JSON数组。
- https_ex: HTTPS 协议数据扩充,JSON数组。
9 dropped array 释放行为。JSON数组,每个item包含内容如下:
- sha1: 文件sha1值,字符串类型。
- sha256:文件 sha256值,字符串类型。
- md5: 文件md5值,字符串类型。
- urls:URLs提取,JSON数组。
- size: int类型。
- filepath: 文件路径,字符串类型。
- name:文件名称,字符串类型。
- crc32: 文件CRC32,字符串类型。
- ssdeep: 文件SSDeep值,字符串类型。
- type: 文件类型,字符串类型。
- yara: YARA,JSON数组。

响应示例(JSON)

  1. {
  2. "response_code": 0,
  3. "data": {
  4. "summary": { // 概要信息
  5. "threat_level": "malicious",// 威胁等级(malicious 恶意, suspicious 可疑, clean 安全)
  6. "submit_time": "2019-01-22 17:36:21", // 文件提交时间
  7. "file_name": "test.exe", // 文件名称
  8. "file_type": "EXEx86", // 文件类型
  9. "sample_sha256": "{sha256}", // 文件的 Hash
  10. "tag": {
  11. "s": [ // 静态标签
  12. "语言neutral",
  13. "时间戳异常"
  14. ],
  15. "x": [ // 检测标签
  16. Trojan"
  17. ]
  18. },
  19. "threat_score": 60,
  20. "sandbox_type": "win7_sp1_enx86_office2013", // 沙箱运行环境
  21. "multi_engines": "7/25" // 反病毒扫描引擎检出率
  22. },
  23. "multiengines": { // 反病毒扫描引擎检测结果(safe 无检出,e.g Trojan 检出结果)
  24. "result": {
  25. "Kaspersky": "Trojan",
  26. "Microsoft": "safe"
  27. },
  28. "scan_time": "2019-10-22 16:17:48" //多引擎扫描样本的具体时间
  29. },
  30. "static": { // 静态信息,以 PE 文件为例
  31. "details": {
  32. "pe_version_info": [], // PE 文件版本信息
  33. "pe_sections": [], // PE 文件节表信息
  34. "pe_signatures": {}, // PE 文件签名信息
  35. "pe_imports": [], // PE 文件导入表信息
  36. "pe_resources": [], // PE 文件资源信息
  37. "tag": [], // PE 文件静态标签
  38. "pe_detect": {}, // PE 文件第三方检测信息
  39. "pe_basic": {}, // PE 文件基本信息
  40. "pe_exports": [] // PE 文件导出表信息
  41. },
  42. "basic": { // 文件基本信息
  43. "sha1": "{sha1}",
  44. "sha256": "{sha256}",
  45. "file_type": "{magic}",
  46. "file_name": "test.exe",
  47. "ssdeep": "{ssdeep}",
  48. "file_size": 33397,
  49. "md5": "{md5}"
  50. }
  51. },
  52. "signature": [ // 行为签名
  53. {
  54. "severity": 1, // 严重等级,数字越高等级越高
  55. "references": [],
  56. "sig_class": "Static File Characteristics", // 签名分类
  57. "name": "static_linked", // 签名名称
  58. "description": "{"en": "Binary is statically linked", "cn": "此文件是静态链接的"}",//行为描述
  59. "markcount": 1,
  60. "marks": [], // 签名原始数据
  61. "families": [],
  62. "attck_id": "",
  63. "attck_info": {}
  64. }
  65. ],
  66. "dropped": [ // 释放行为
  67. {
  68. "sha1": "{sha1}",
  69. "urls": [],
  70. "sha256": "{sha256}",
  71. "size": 33558,
  72. "filepath": "C:\Users\test.exe",
  73. "name": "test.exe",
  74. "crc32": "",
  75. "ssdeep": "{ssdeep}",
  76. "type": "{magic}",
  77. "yara": [],
  78. "md5": "{md5}"
  79. }
  80. ],
  81. "pstree": { // 进程行为
  82. "children": [
  83. {
  84. "track": true,
  85. "pid": 1255, // 进程 ID
  86. "process_name": "", // 进程名称
  87. "command_line": "", // 进程命令符
  88. "first_seen": "17:36:34.047315676",
  89. "ppid": 1209, // 父进程 ID
  90. "children": [] // 子进程 list
  91. }
  92. ],
  93. "process_name": {
  94. "en": "Analysed 1 processes in total",
  95. "cn": "共分析了1个进程"
  96. }
  97. },
  98. "network": { // 网络行为
  99. "tls": [],
  100. "udp": [],
  101. "dns_servers": [],
  102. "http": [],
  103. "irc": [],
  104. "smtp": [],
  105. "tcp": [],
  106. "smtp_ex": [],
  107. "mitm": [],
  108. "hosts": [],
  109. "dns": [],
  110. "http_ex": [],
  111. "domains": [],
  112. "dead_hosts": [],
  113. "icmp": [],
  114. "https_ex": []
  115. }
  116. },
  117. "verbose_msg": "OK"
  118. }

文件反病毒引擎检测报告

获取文件经过 25 款反病毒扫描引擎检测后的结果。

请求参数说明

序号 参数名称 必选 类型 描述
1 apikey string API请求的身份识别标识。
2 sha256 string 文件的 sha256 值,用于获取分析报告。
为方便查询报告,sha256 可以替换成 md5 或 sha1。
3 sandbox_type 可选 string 沙箱运行环境,用户可以指定文件的沙箱运行环境,可选环境包括:
- Windows
win7_sp1_enx64_office2013
win7_sp1_enx86_office2013
win7_sp1_enx86_office2010
win7_sp1_enx86_office2007
win7_sp1_enx86_office2003
- Linux
ubuntu_1704_x64
centos_7_x64

响应参数说明

序号 参数名称 类型 描述
1 response_code int 响应正常会返回”0”。
其他Response code及对应msg描述参见”响应Code和Msg对照表
2 verbose_msg string 响应正常会返回”Ok”。
其他Response code及对应msg描述参见”响应Code和Msg对照表
3 multiengines object 多引擎扫描报告。JSON对象。每个item描述如下:
- threat_level:威胁等级:
- malicious:恶意
- suspicious: 可疑
- clean: 安全
- total:反病毒扫描引擎检测成功的个数。
- total2:实际部署的反病毒扫描引擎个数。
- psitives:反病毒扫描引擎检出的个数。
- scan_date:最近扫描时间。
- malware_type:病毒类型,如DoS等。
- malware_family:病毒家族,如Xorddos!rfn等。
- scan:反病毒扫描引擎检测结果。每个item是1个扫描引擎检测结果,检测结果说明如下:
- 无检出:显示为safe。
- 有检出:显示具体的检出的病毒结果标签。如:Trojan。

响应示例(JSON)

  1. {
  2. "response_code": 0,
  3. "data": {
  4. "multiengines": {
  5. "threat_level": "malicious", // 威胁等级(malicious 恶意, suspicious 可疑, clean 安全)
  6. "total": 25, // 反病毒扫描引擎检测成功的个数
  7. "scans": { // 反病毒扫描引擎检测结果(safe 无检出,e.g Trojan 检出结果)
  8. "Tencent": "Trojan.Linux.XorDdos.a",
  9. "vbwebshell": "safe",
  10. "Avast": "safe",
  11. "Kaiwei": "safe",
  12. "Rising": "Trojan.Linux.DDoS-Xor.a",
  13. "K7": "safe",
  14. "Kaspersky": "safe",
  15. "NANO": "safe",
  16. "Baidu-China": "safe",
  17. "Microsoft": "DoS:Linux/Xorddos!rfn",
  18. "Kingsoft": "safe",
  19. "ClamAV": "safe",
  20. "IKARUS": "safe",
  21. "Huorong": "Trojan/Linux.Xorddos.b",
  22. "Avira": "safe",
  23. "Sophos": "Linux/DDoS-BH",
  24. "Panda": "safe",
  25. "Antiy": "safe",
  26. "AVG": "Trojan horse Linux/Generic_c.HN",
  27. "Baidu": "safe",
  28. "DrWeb": "safe",
  29. "GDATA":"Trojan.Linux.Generic.7404",
  30. "Qihu360": "safe",
  31. "ESET": "Linux/Xorddos.F trojan",
  32. "JiangMin": "TrojanDDoS.Linux.bn"
  33. },
  34. "is_white": false, // 是否为白名单文件,true 白名单
  35. "total2": 25, // 实际部署的反病毒扫描引擎个数
  36. "positives": 9, // 反病毒扫描引擎检出的个数
  37. "scan_date": "2019-01-22 13:23:55", // 最近扫描时间
  38. "malware_type": "DoS", // 病毒类型
  39. "malware_family": "Xorddos!rfn" // 病毒家族
  40. }
  41. },
  42. "verbose_msg": "OK"
  43. }

威胁类型全集

云API当中可判定的威胁类型全集如下:

英文名称 中文名称
C2 远控
Botnet 僵尸网络
Hijacked 劫持
Phishing 钓鱼
Malware 恶意软件
Exploit 漏洞利用
Scanner 扫描
Zombie 傀儡机
Spam 垃圾邮件
Suspicious 可疑
Compromised 失陷主机
Whitelist 白名单
Brute Force 暴力破解
Proxy 代理
Info 基础信息

Suspicious(可疑)分类

英文名称 中文名称
MiningPool 矿池
CoinMiner 私有矿池

C2(远控)分类

英文名称 中文名称
Sinkhole C2 安全机构接管 C2

Brute Force(暴力破解)分类

英文名称 中文名称
SSH Brute Force SSH暴力破解
FTP Brute Force FTP暴力破解
SMTP Brute Force SMTP暴力破解
Http Brute Force HTTP AUTH暴力破解
Web Login Brute Force 撞库

Proxy(代理)分类

英文名称 中文名称
HTTP Proxy HTTP Proxy
HTTP Proxy In HTTP代理入口
HTTP Proxy Out HTTP代理出口
Socks Proxy Socks代理
Socks Proxy In Socks代理入口
Socks Proxy Out Socks代理出口
VPN VPN代理
VPN In VPN入口
VPN Out VPN出口
Tor Tor代理
Tor Proxy In Tor入口
Tor Proxy Out Tor出口

Info(基础信息)分类

英文名称 中文名称
Bogon 保留地址
FullBogon 未启用IP
Gateway 网关
IDC IDC服务器
Dynamic IP 动态IP
Edu 教育
DDNS 动态域名
Mobile 移动基站
Search Engine Crawler 搜索引擎爬虫
CDN CDN服务器
Advertisement 广告
DNS DNS服务器
BTtracker BT服务器
Backbone 骨干网

文件反病毒扫描引擎目录

英文名称 中文名称
AVG AVG
Antiy 安天(Antiy)
Avira 小红伞(Avira)
Avast Avast
Baidu Baidu
Baidu-China 百度国际版(Baidu-International)
ClamAV ClamAV
DrWeb 大蜘蛛(Dr.Web)
ESET ESET
GDATA GDATA
IKARUS IKARUS
JiangMin 江民(JiangMin)
K7 K7
Kaiwei 开维(Kaiwei)
Kaspersky 卡巴斯基(Kaspersky)
Kingsoft 金山(Kingsoft)
Microsoft 微软(MSE)
NANO NANO
Panda 熊猫(Panda)
Qihu360 360(Qihoo 360)
Rising 瑞星(Rising)
Sophos Sophos
Tencent 腾讯(Tencent)
vbwebshell WebShell专杀

文件检测类型全集

  • 支持对常见可执行文件的分析:exe、dll、com、cpl 等
  • 支持对常见脚本类文件的分析:js、vbs、ps1、python、wsf、html等
  • 支持对常见文档类文件的分析:doc、xls、ppt、pub、pdf、swf等
  • 支持对常见压缩格式的分析:rar、zip、7z 等
  • 支持对 Linux 可执行文件的分析:elf 等

    部分常见样本标签

  • 常见自定义静态标签:timestamp_exception、encrypt_algorithm、tls_callback、pdb_path、empty_import 等;

  • 常见文件类型静态标签: PE32、exe、doc、xls、zip 等;
  • 常见语言静态标签:lang_neutral、 lang_english、lang_chinese、lang_spanish、lang_spanish 等;
  • 病毒类型标签: Worm、 Trojan、Virus、Backdoor、TrojanDropper 等;
  • 病毒家族标签:Soltern、Picsys、Dinwod、Nabucur、Ramnit 等;

    文件静态信息报告示例

    PE

    1. {
    2. "response_code": 0,
    3. "data": {
    4. "static": {
    5. "details": {
    6. "pe_version_info": [ // PE 文件版本
    7. {
    8. "name": "LegalCopyright",
    9. "value": "Copyright (C) 2019 Mrack"
    10. }
    11. ],
    12. "pe_sections": [ // PE 节表信息
    13. {
    14. "pointer_to_rawdata": "0x00000400",
    15. "name": ".text",
    16. "virtual_address": "0x00001000",
    17. "size_of_data": "0x00001c00",
    18. "entropy": 6.242158533103589,
    19. "SectionPermission": "R-E",
    20. "virtual_size": "0x00001bc1"
    21. }
    22. ],
    23. "pe_signatures": {}, // PE 文件签名
    24. "pe_imports": [ // PE 导入表
    25. {
    26. "imports": [
    27. {
    28. "name": "DisableThreadLibraryCalls",
    29. "address": "0x10003014"
    30. }
    31. ],
    32. "dll": "KERNEL32.dll"
    33. }
    34. ],
    35. "pe_resources": [ // PE 资源信息
    36. {
    37. "name": "RT_VERSION",
    38. "language": "LANG_CHINESE",
    39. "filetype": "data",
    40. "sublanguage": "SUBLANG_CHINESE_SIMPLIFIED",
    41. "offset": "0x000090a0",
    42. "size": "0x000002b0"
    43. }
    44. ],
    45. "tag": [ // 静态标签
    46. "PE32",
    47. "lang_chinese"
    48. ],
    49. "pe_detect": { // 第三方检测信息
    50. "find_crypt": null,
    51. "urls": []
    52. },
    53. "pe_basic": { // PE 基本信息
    54. "tls_info": {},
    55. "import_hash": "1abe41975242325c19b3c9a004fa31b9",
    56. "time_stamp": "2019-07-01 07:46:46",
    57. "peid": [
    58. "PE: protector: VMProtect(-)[-]",
    59. "PE: linker: Microsoft Linker(14.0)[DLL32]"
    60. ],
    61. "entry_point_section": ".text",
    62. "image_base": "0x10000000",
    63. "entry_point": "0x23f9"
    64. },
    65. "pe_exports": [ // PE 导出表
    66. {
    67. "ordinal": 1,
    68. "name": "adler32",
    69. "address": "0x10001b40"
    70. }
    71. ]
    72. },
    73. "basic": { // 文件基本信息
    74. "sha1": "9b415f74b471014c188c3ca4b93370007fed4f5e",
    75. "sha256": "72ccd2b142d73e0bd6c7fa3ebec5ffe80fff233767207804a5a50a4641f8b23a",
    76. "file_type": "PE32 executable (DLL) (GUI) Intel 80386, for MS Windows",
    77. "file_name": "72ccd2b142d73e0bd6c7fa3ebec5ffe80fff233767207804a5a50a4641f8b23a",
    78. "ssdeep": "384:Pje6+rxkF2OitkOcr9cerrloQY89ZEmIJ+pXRmvIKnTD+TsME:rQrxnOiklhcGZ78rA4n9",
    79. "file_size": 22016,
    80. "md5": "a148642a57e87818b8684d5956bdb3d6"
    81. }
    82. }
    83. },
    84. "msg": "OK"}

    Office Document(OLE)

    1. {
    2. "response_code": 0,
    3. "data": {
    4. "static": {
    5. "details": {
    6. "oledump": { // OLE Dump
    7. "0": {
    8. "type": "",
    9. "name": "'\\x01CompObj'",
    10. "size": "107"
    11. }
    12. },
    13. "base_info": { // OLE基本信息
    14. "MIMEType": "application/vnd.ms-excel",
    15. "CompObjUserTypeLen": 31,
    16. "CompObjUserType": "Microsoft Excel 2003 Worksheet",
    17. "ModifyDate": "2017:07:05 06:02:29",
    18. "ScaleCrop": "No",
    19. "SharedDoc": "No",
    20. "TitleOfParts": "",
    21. "FileType": "XLS",
    22. "AppVersion": 14.0,
    23. "LinksUpToDate": "No",
    24. "FileName": "macro.xls",
    25. "CodePage": "Windows Japanese (Shift-JIS)",
    26. "HeadingPairs": [
    27. "Worksheets",
    28. 1
    29. ],
    30. "FileTypeExtension": "xls",
    31. "HyperlinksChanged": "No",
    32. "LastPrinted": "2016:09:30 14:56:13",
    33. "Security": "None",
    34. "CreateDate": "2016:09:28 11:10:05",
    35. "Software": "Microsoft Excel"
    36. },
    37. "tag": [ // 静态标签
    38. "vba_macors",
    39. "xls"
    40. ],
    41. "oleid": { // OLEID
    42. "Excel Workbook": true,
    43. "VBA Macros": true,
    44. "Encrypted": false,
    45. "Application name": "Microsoft Excel",
    46. "Flash objects": 0,
    47. "ObjectPool": false,
    48. "Visio Drawing": false,
    49. "PowerPoint Presentation": false,
    50. "Has SummaryInformation stream": true,
    51. "OLE format": true,
    52. "Word Document": false
    53. },
    54. "embedded": { // 嵌入信息
    55. "macros": [{ // 嵌入宏代码
    56. "vba_filename": "ThisWorkbook.cls",
    57. "code": "",
    58. "subfilename": "Z:\\SUBMIT_SAMPLE\\a2602b9c94a2bdbcac75b95d4430d4cda3a79986c016ac2ef2211afb00420f24",
    59. "ole_stream": "_VBA_PROJECT_CUR/VBA/ThisWorkbook"
    60. }],
    61. "analysis": [{ // 嵌入分析
    62. "type": "AutoExec",
    63. "description": "Runs when the Excel Workbook is opened",
    64. "keyword": "Workbook_Open"
    65. }]
    66. }
    67. },
    68. "basic": { // 文件基本信息
    69. "sha1": "c20c248cac61c020534fd19c3104f3e4c9b39851",
    70. "sha256": "a2602b9c94a2bdbcac75b95d4430d4cda3a79986c016ac2ef2211afb00420f24",
    71. "file_type": "Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.0, Code page: 932, Name of Creating Application: Microsoft Excel, Last Printed: Fri Sep 30 14:56:13 2016, Create Time/Date: Wed Sep 28 11:10:05 2016, Last Saved Time/Date: Wed Jul 5 06:02:29 2017, Security: 0",
    72. "file_name": "a2602b9c94a2bdbcac75b95d4430d4cda3a79986c016ac2ef2211afb00420f24",
    73. "ssdeep": "1536:ek3hOdsylKlgryzc4bNhZFGzE+cL4LgldAcGoKHdi6nHHLa8USOBEeznXg16bIU0:ek3hOdsylKlgryzc4bNhZFGzE+cL4Lgq",
    74. "file_size": 79872,
    75. "md5": "b81cc045aeb9c0f46d34e9e19732bcec"
    76. }
    77. }
    78. },
    79. "msg": "OK"
    80. }

    PDF

    1. {
    2. "response_code": 0,
    3. "data": {
    4. "static": {
    5. "details": {
    6. "urls": [], // 内嵌URL地址
    7. "pdfid": {}, // PDF流信息
    8. "base_info": { // PDF基本信息
    9. "MIMEType": "application/pdf",
    10. "FileType": "PDF",
    11. "Linearized": "No",
    12. "FileTypeExtension": "pdf",
    13. "FileName": "01998715ab51a03cdaddff4ebe004da942ca3ae4e1357f3e1d5d5947b6e20624",
    14. "PDFVersion": 1.3
    15. },
    16. "tag": [ // 静态标签
    17. "pdf"
    18. ],
    19. "javascript": [] // 内嵌JavaScript
    20. },
    21. "basic": { // 文件基本信息
    22. "sha1": "0e89becf87b5aa7b68f1e463f47620de3995b1ee",
    23. "sha256": "01998715ab51a03cdaddff4ebe004da942ca3ae4e1357f3e1d5d5947b6e20624",
    24. "file_type": "PDF document, version 1.3",
    25. "file_name": "01998715ab51a03cdaddff4ebe004da942ca3ae4e1357f3e1d5d5947b6e20624",
    26. "ssdeep": "48:FuENYPlyRai1648QeS20KOu+s61GMaC9b57OMhCv++S5UcL60I7qS5+o+AS9Hbe2:cENYtyRaU5sV76RaCf7OMhc++S5Ucq7w",
    27. "file_size": 2996,
    28. "md5": "122ca0d4629ff12c3b0aa21bd18dbf08"
    29. }
    30. }
    31. },
    32. "msg": "OK"
    33. }

    RTF

    1. {
    2. "response_code": 0,
    3. "data": {
    4. "static": {
    5. "details": {
    6. "base_info": { // RTF基本信息
    7. "MIMEType": "text/rtf",
    8. "FileType": "RTF",
    9. "FileTypeExtension": "rtf",
    10. "FileName": "69ee6723340148cec550251d4151ea953ef1f637839ec4b4769d260917bedc8e"
    11. },
    12. "tag": [ // 静态标签
    13. "rtf"
    14. ]
    15. },
    16. "basic": { // 文件基本信息
    17. "sha1": "b03271072ab126b33316da3f02c528c297d683fe",
    18. "sha256": "69ee6723340148cec550251d4151ea953ef1f637839ec4b4769d260917bedc8e",
    19. "file_type": "Rich Text Format data, version 1, unknown character set",
    20. "file_name": "69ee6723340148cec550251d4151ea953ef1f637839ec4b4769d260917bedc8e",
    21. "ssdeep": "12288:k+kD4uLZMDuarevCd5OXjkttS5tnLSD8djMQnVTG4LBckzrG/gH9J:l1u1OrbdVA7Lg8djXnM4LKkzP",
    22. "file_size": 820927,
    23. "md5": "b8bcdad201dc03be9f312afca81029b2"
    24. }
    25. }
    26. },
    27. "msg": "OK"
    28. }

    ELF

    ```json {
    “response_code”: 0,
    “data”: {
    “static”: {
    1. "details": {
    2. "dynamic_tags": [ // 动态段信息
    3. {
    4. "tag": "0x0000000000000010",
    5. "type": "SYMBOLIC",
    6. "value": "0x0000000000000000"
    7. }
    8. ],
    9. "notes": [], // 注释信息
    10. "section_headers": [ // 段信息
    11. {
    12. "addr": "0x0000000000000000",
    13. "type": "NULL",
    14. "name": "",
    15. "size": 0
    16. }
    17. ],
    18. "file_header": { // ELF 基本信息
    19. "magic": "\\x7fELF",
    20. "version": "0x1",
    21. "os_abi": "UNIX - System V",
    22. "ei_version": "1 (current)",
    23. "number_of_program_headers": 6,
    24. "abi_version": 0,
    25. "size_of_section_headers": 64,
    26. "data": "2's complement, little endian",
    27. "machine": "Advanced Micro Devices X86-64",
    28. "class": "ELF64",
    29. "number_of_section_headers": 26,
    30. "flags": "0x0000000000000000",
    31. "type": "DYN (Shared object file)",
    32. "section_header_string_table_index": 25,
    33. "entry_point_address": "0x000000000000fddc",
    34. "start_of_section_headers": 1172768,
    35. "size_of_this_header": 64,
    36. "size_of_program_headers": 56,
    37. "start_of_program_headers": 64
    38. },
    39. "program_headers": [ // Program 信息
    40. {
    41. "type": "LOAD",
    42. "flags": "R E",
    43. "addr": "0x0000000000000000",
    44. "size": 1141456
    45. }
    46. ],
    47. "tag": [ // 静态标签
    48. "so"
    49. ],
    50. "symbol_tables": [ // 符号表信息
    51. {
    52. "ndx_name": "",
    53. "bind": "LOCAL",
    54. "type": "NOTYPE",
    55. "value": "0x0000000000000000"
    56. }
    57. ],
    58. "relocations": [ // 重定位信息
    59. {
    60. "name": ".rela.dyn",
    61. "entries": [
    62. {
    63. "info": "0x0000000000000008",
    64. "type": "R_X86_64_RELATIVE",
    65. "name": "",
    66. "value": "",
    67. "offset": "0x0000000000317650"
    68. }
    69. ]
    70. }
    71. ]
    72. },
    73. "basic": { // 文件基本信息
    74. "sha1": "520373aa9c5a099db7b0cc8c04418eaac66c6117",
    75. "sha256": "36be26d65808ead53780612007ab0165b62bca2de9779dbd63afdba5ce3062a3",
    76. "file_type": "ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, stripped", "file_name": "36be26d65808ead53780612007ab0165b62bca2de9779dbd63afdba5ce3062a3",
    77. "ssdeep": "24576:JqQiZtBMZFBWDBvuvdztCntu1OscG0g76+QsHTkPiYqUFdHSHeOG+rVyBTUUs1ek:riZtBMZFBWDBvuvdztCntu1OscG0g76+", "file_size": 1174432,
    78. "md5": "cdad1039d8d9f197a693892a2d88124c"
    79. }
    }
    },
    “msg”: “OK” }
  1. <a name="L30Vd"></a>
  2. ## 压缩
  3. ```json
  4. {
  5. "response_code": 0,
  6. "data": {
  7. "static": {
  8. "details": {
  9. "zip": [
  10. {
  11. "Path": "Z:\\SUBMIT_SAMPLE\\8cd40af98ddbfa579376e14fdeed20b20156282c8d3d7253526466836693ad7d",
  12. "Type": "zip", // ZIP 文件结构
  13. "Physical Size": "14898078"
  14. },
  15. {
  16. "Comment": "",
  17. "Attributes": "A",
  18. "Created": "2019-01-02 16:09:56",
  19. "Packed Size": "5010",
  20. "Encrypted": "-",
  21. "Modified": "2019-01-02 15:15:23",
  22. "Host OS": "FAT",
  23. "CRC": "C965CAAE",
  24. "Volume Index": "0",
  25. "Version": "20",
  26. "Accessed": "2019-01-02 16:09:56",
  27. "Path": "pcreposix-0.dll",
  28. "Folder": "-",
  29. "Method": "Deflate",
  30. "Size": "9728"
  31. }
  32. ],
  33. "base_info": { // ZIP 基本信息
  34. "MIMEType": "application/zip",
  35. "ZipRequiredVersion": 20,
  36. "ZipCRC": "0xc965caae",
  37. "FileType": "ZIP",
  38. "ZipCompression": "Deflated",
  39. "FileName": "8cd40af98ddbfa579376e14fdeed20b20156282c8d3d7253526466836693ad7d",
  40. "ZipCompressedSize": 5010,
  41. "FileTypeExtension": "zip",
  42. "ZipFileName": "pcreposix-0.dll",
  43. "ZipBitFlag": 0,
  44. "ZipUncompressedSize": 9728,
  45. "ZipModifyDate": "2019:01:02 15:15:11"
  46. },
  47. "tag": [ // 静态标签
  48. "zip"
  49. ]
  50. },
  51. "basic": { // 文件基本信息
  52. "sha1": "01cb66a858d8e4c42334149865c204d0a97d7389",
  53. "sha256": "8cd40af98ddbfa579376e14fdeed20b20156282c8d3d7253526466836693ad7d",
  54. "file_type": "Zip archive data, at least v2.0 to extract",
  55. "file_name": "8cd40af98ddbfa579376e14fdeed20b20156282c8d3d7253526466836693ad7d",
  56. "ssdeep": "393216:n3Cz49jJ8xPvYkdBFpyh+6TY8tBMNGlYrAs9HY0Z:nzVkXFYw6cKxCrAg4U",
  57. "file_size": 14898078,
  58. "md5": "170fb01f3a9f47096608c50109365879"
  59. }
  60. }
  61. },
  62. "msg": "OK"
  63. }