最近在收集PE的FileInfo信息,发现不是每个PE都会有,而且有也不一定全部都有,总结了样本,基本上包含一下信息:
LegalCopyright :版权信息
InternalName: 内部名称
FileVersion:文件版本
CompanyName:公司名称
LegalTrademarks:注册商标
Comments:注释
ProductName:产品名称
ProductVersion:产品版本
FileDescription:文件描述
OriginalFilename:原始文件名
PrivateBuild:私有编译 (见样本3)
SpecialBuild:特殊编译
几个特殊的信息:
BuildDate: 编译日期 (见样本1)
BuildNumber: 编译号(见样本1)
FileType: 文件类型 (本应该出现在VS_FIXEDFILEINFO中的,却又出现在FileInfo中,造成冲突,以VS_FIXEDFILEINFO中的为准)(见样本1)
OLESelfRegister: (见样本2)
文件的分析信息列表:
样本1:https://files.cnblogs.com/fengmk2/35d417aa12d58edfc4ed0156e8ee855f.Nap.txt
样本2:https://files.cnblogs.com/fengmk2/OLESelfRegister_QQ.exe.txt
样本3:https://files.cnblogs.com/fengmk2/PrivateBuild_8c26cc7d912ab9568b44a62291f7ac51.dll.txt