Analyse des File headers PE

📁 File Header PE (Portable Executable)

Le File Header PE, ou en français "en-tête de fichier PE" est une partie essentielle de la structure d'un fichier exécutable Windows. Il se trouve au début du fichier et contient des informations cruciales sur le fichier exécutable, telles que le type de fichier, les options de compilation et les spécifications du système d'exploitation cible.

Contenu du File Header PE :

Signature PE : Le File Header PE commence généralement par une signature spécifique qui identifie le fichier comme un exécutable Windows au format PE. La signature PE est généralement représentée par les caractères "PE\0\0".

Type de Machine : Cette section spécifie l'architecture matérielle pour laquelle le fichier exécutable est conçu, telle que x86, x64, ARM, etc.

Nombre de Sections : Indique le nombre de sections présentes dans le fichier exécutable. Les sections sont des blocs de données organisés de manière logique dans le fichier.

Date/Heure de Création : Indique la date et l'heure de création du fichier exécutable.

Point d'Entrée : Spécifie le point d'entrée dans le code du programme, c'est-à-dire l'adresse de départ de l'exécution du programme.

Informations sur la Version du Logiciel : Comprend des informations sur la version du logiciel qui a créé le fichier exécutable.

Taille du Code : Indique la taille de la section de code du programme.

Taille des Données Initialisées : Spécifie la taille de la section de données initialisées.

Taille des Données Non Initialisées : Indique la taille de la section de données non initialisées.

Point d'Adresse de la Table des Importations : Spécifie l'adresse de la table des importations, qui répertorie les fonctions ou les symboles externes utilisés par le programme.

🛠️ Commande pecheck

La commande pecheck vous permet d'extraire et d'afficher des informations importantes à partir du File Header PE, ainsi que d'autres sections du fichier exécutable. Voici quelques fonctionnalités courantes de la commande pecheck :

  • Affichage des informations sur le type de fichier, l'architecture cible et la date de création.

  • Extraction des adresses de point d'entrée et de la table des importations.

  • Vérification de l'intégrité du fichier en calculant les hachages MD5 et SHA256.

  • Analyse des sections du fichier pour identifier les sections suspectes ou malveillantes.

🌳Outil pe-tree

pe-tree est un outil open-source utilisé pour analyser et visualiser la structure interne des fichiers exécutables Windows au format PE (Portable Executable). Cet outil permet aux chercheurs en sécurité et aux analystes de logiciels malveillants d'explorer facilement les différentes sections et les en-têtes des fichiers PE pour mieux comprendre leur fonctionnement et leur comportement.

Fonctionnalités de pe-tree 🌳

  • Analyse Structurée : pe-tree organise les informations du fichier PE de manière structurée, simplifiant la compréhension de sa composition et de sa fonctionnalité.

  • Visualisation Hiérarchique : Crée une représentation arborescente de la structure interne du fichier PE, facilitant la navigation entre les sections et les en-têtes.

  • Affichage des Entêtes PE : Présente les différents en-têtes PE (DOS, COFF, optionnel) avec des détails sur chaque champ.

  • Exploration des Sections : Présente de manière détaillée les sections du fichier PE, incluant taille, adresse virtuelle, autorisations d'accès, et contenu brut.

  • Extraction des Données : Permet l'extraction de données spécifiques du fichier PE pour une analyse approfondie ou la récupération de ressources.

  • Prise en Charge des Plugins : Supporte les plugins pour étendre les fonctionnalités de l'outil en fonction des besoins spécifiques d'analyse.

Utilisation de pe-tree 🌳🛠️

Installation

pip install pe-tree

Exécution

pe-tree chemin_vers_fichier_PE

Analyse et Visualisation

Options de Personnalisation

  • -h, --help: Affiche l'aide sur les options de la ligne de commande.

  • -f, --format: Spécifie le format de sortie (textuel ou graphique).

  • -o, --output: Spécifie le fichier de sortie pour la visualisation graphique.

  • -s, --sections: Affiche les informations détaillées sur les sections PE.

  • -e, --extract: Extrait les données spécifiques du fichier PE.

  • -p, --plugins: Charge les plugins pour étendre les fonctionnalités de l'outil.

Exemple

pe-tree -f graphique -o sortie.png chemin_vers_fichier_PE

Cette commande génère une visualisation graphique de la structure du fichier PE et enregistre le résultat dans un fichier nommé "sortie.png".

PreviousMalwareNextAnalyse dynamique et anti analyse

Last updated