fcti-malware-hashes
FCTI 서비스에서 악성코드 분석 결과를 조회합니다.
fcti-malware-hashes [proxy=PROXY] [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss]
- proxy=PROXY
- 프록시 서버 URL
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
출력 필드
필드 | 타입 | 이름 | 설명 |
---|---|---|---|
_time | 날짜 | 등록 일시 | |
md5 | 문자열 | MD5 | |
sha1 | 문자열 | SHA1 | |
sha256 | 문자열 | SHA256 | |
file_name | 문자열 | 파일 이름 | |
version | 문자열 | 파일 버전 | 예: e.g. 1.0.0.0 |
file_size | 64비트 정수 | 파일 크기 | |
file_type | 문자열 | 파일 유형 | 예: PE |
importance | 문자열 | 중요도 | 예: H (상), M (중), L (하) |
confirm_yn | 문자열 | 확인 요청 | 예: Y, N |
confirm_status | 문자열 | 확인 상태 | |
static_report | 문자열 | 정적 분석 보고서 | |
dynamic_report | 문자열 | 동적 분석 보고서 | 파일 행위 분석 보고서 |
packer | 문자열 | 패커 | 바이너리 난독화 유형 |
description | 문자열 | 설명 | |
detect_engines | 32비트 정수 | 탐지 엔진 수 | 악성코드로 진단한 안티바이러스 엔진 수 |
total_engines | 32비트 정수 | 전체 엔진 수 | 전체 안티바이러스 엔진 수 |
av_result | 배열 | 진단 내역 | 안티바이러스 엔진별 진단 내역 |
sign_name | 문자열 | 서명자 | |
sign_publisher | 문자열 | 발급자 | 예: Symantec Class 3 Extended Validation Code Signing CA - G2 |
sign_time | 날짜 | 서명 시각 | |
is_signed | 불리언 | 서명 여부 | |
is_valid_sign | 불리언 | 서명 유효성 | |
country | 문자열 | 국가 | |
pdb_path | 문자열 | PDB 경로 | |
copyright | 문자열 | 저작권자 | |
organization | 문자열 | 조직 | |
writer | 문자열 | 작성자 | |
stix_id | 문자열 | STIX ID | |
shared_scope | 문자열 | 공유 범위 | 예: ALL, FSI, BANK, INVEST, INSURANCE, NONBANK, CUSTOM |
dns | 배열 | DNS 통신 내역 | 각 배열 요소는 dnsHash, request, answers 속성 포함 |
irc | 배열 | IRC 통신 내역 | 각 배열 요소는 type, command, params 속성 포함 |
icmp | 배열 | ICMP 통신 내역 | 각 배열 요소는 type, src, dst 속성 포함 |
smtp | 배열 | SMTP 통신 내역 | 각 배열 요소는 src, raw 속성 포함 |
tcp | 배열 | TCP 통신 내역 | 각 배열 요소는 src, sport, dst, dport 속성 포함 |
udp | 배열 | UDP 통신 내역 | 각 배열 요소는 src, sport, dst, dport 속성 포함 |