喜欢就关注我们吧!
黑莓方面宣布推出一个新的开源工具“PE Tree”,旨在减少逆向工程恶意软件所需的时间和精力。该公司表示,PE Tree 使得逆向工程师可以使用 pefile 和 PyQt5 在树状视图中查看可移植可执行(Portable Executable,PE)文件,从而降低了从内存中转储和重建恶意软件的门槛,同时提供了社区可以建立的开源 PE 查看器代码库。
PE Tree 还与 HexRays 的IDA Pro 反编译器集成在一起,从而可以轻松导航 PE 结构,以及转储内存中的 PE 文件并执行导入重建, 在识别和阻止各种恶意软件方面至关重要。
软件基本信息
序号 | 维度 | 详情 |
---|---|---|
1 | 软件类型 | 反编译工具 |
2 | 授权协议 | Apache |
3 | 开发厂商 | 黑莓 |
4 | 开发语言 | Python |
特性
- 独立应用程序和 IDAPython 插件
- 支持 Windows / Linux / Mac
- Rainbow PE 比例图:
- PE 结构,大小和文件位置的高级概述
- 可以快速直观地比较 PE samples
- 在树视图中显示以下 PE headers:
- MZ headers
- DOS stub
- Rich headers
- NT/File/Optional headers
- Data directories
- Sections
- Imports
- Exports
- Debug information
- Load config
- TLS
- Resources
- Version information
- Certificates
- Overlay
- 从以下位置提取并保存数据:
- DOS stub
- Sections
- Resources
- Certificates
- Overlay
- 发送数据到 CyberChef
- VirusTotal 搜索:
- File hashes
- PDB path
- Timestamps
- Section hash/name
- Import hash/name
- Export name
- Resource hash
- Certificate serial
- 独立应用程序;
- Double-click VA/RVA to disassemble with capstone
- 十六进制转储数据
- IDAPython 插件:
- 轻松浏览PE文件结构
- Double-click VA/RVA to view in IDA-view/hex-view
- 在IDB中搜索内存中的PE文件;
- 重建进口(IAT + IDT)
- 转储重建的 PE 文件
- 在 IDB 中自动注释 PE 文件结构
- 在 IDB 中自动标记 IAT 偏移量
该工具采用 Python 开发的,并支持Windows、Linux 和 Mac 操作系统。它可以作为独立应用程序或 IDAPython 插件安装和运行,从而使用户可以检查任何可执行的 Windows 文件并查看其组成。
图 1 独立应用程序
图 2 IDAPython 插件
使用 Ero Carrera 的 pefile 模块分析 PE 文件,然后再映射到树视图中。在那里,用户可以查看 headers 的摘要,包括 MZ header、DOS stub、Rich headers、数据目录等。
此外,左侧的“rainbow view”提供了 PE 文件结构的高级概述,并传达了每个区域的 offset/size/ratio。用户可以单击每个区域以跳至树状视图,或者单击鼠标右键以保存到文件或导出到 CyberChef。
黑莓研究运营副总裁埃里克·米拉姆(Eric Milam)称:“随着网络犯罪分子不断发展,网络安全社区需要在其武器库中使用新工具来捍卫和保护组织和人员。
现在市场上已有超过 10 亿个恶意软件,而且这个数字还在以每年 1 亿个以上的数量持续增长。因此我们创建了此解决方案,以帮助网络安全社区进行这场斗争。”
PS:更多关于PE Tree的信息及源码下载,请在“开源中国”公众号对话框回复关键词:0814
谷歌与微软,勇士与恶龙的身份互换?
觉得不错,请点个在看呀