تخطَّ إلى المحتوى

PE-bear - أداة عكس ملفات PE

PE-bear - أداة عكس ملفات PE

PE-bear (من قبل hasherezade) هي أداة تحليل ملفات PE (Portable Executable) مفتوحة المصدر متعددة المنصات مع واجهة رسومية ودية. تحلل وتعرض كل جزء من ملف تنفيذي Windows — رؤوس DOS/NT وجدول القسم وجداول البيانات والواردات/الصادرات والموارد والرأس الغني — وهي متحفظة عن قصد حول ملفات PE المشوهة التي تكسر محللات أخرى، وهذا بالضبط ما تشحنه البرامج الضارة في كثير من الأحيان. كما أنها تقارن الملفات الثنائية جنبًا إلى جنب، مما يجعلها أساسية لفحص البرامج الضارة السريعة والتحقق من فك التغليف.

التثبيت

المنصةالكيفية
Windows / Linuxقم بتنزيل إنشاء من صفحة GitHub Releases
من المصدرالبناء باستخدام Qt + وحدة bearparser الفرعية
محموللا حاجة للتثبيت؛ قم بتشغيل الملف الثنائي المستخرج
التحقققم بتشغيل PE-bear؛ اسحب PE فيه

تحميل الملفات

الإجراءالكيفية
افتح PEFile → Open أو اسحب .exe/.dll/.sys
ملفات متعددةحمّل عدة؛ يحصل كل على علامة تبويب
إعادة تحميلأعد التحليل بعد التغييرات الخارجية
حفظاحفظ التعديلات مرة أخرى على القرص

ما الذي يمكنك الفحص

اللوحةالعروض
DOS Headerرأس MZ وإزاحة e_lfanew
Rich Headerبصمة المترجم/سلسلة الأدوات (رائعة للإسناد)
NT Headersرأس الملف + رأس اختياري (نقطة الدخول والنظام الفرعي)
Section Headersالأسماء والأحجام الافتراضية/الخام والخصائص والإنتروبيا
Importsمكتبات DLL والوظائف التي يستدعيها الملف الثنائي
Exportsالوظائف التي يعرضها الملف الثنائي
Resourcesالرموز والبيانات والبيانات المدمجة
Data Directoriesجداول الاستيراد/التصدير/الإعادة/TLS/إلخ.

قراءة الأقسام (إشارات الفحص)

الإشارةتوحي
قسم عالي الإنتروبيامعبأ/مشفر (على سبيل المثال .text ~7.9+)
أسماء أقسام غير عاديةUPX0 أو .vmp0 أو أسماء عشوائية → حزمة
قسم قابل للكتابة + قابل للتنفيذتعديل ذاتي / ملخص فك التغليف
جدول الواردات الصغيرالمؤشرات الموزعة في وقت التشغيل (معبأة)
نقطة دخول قسم غريبةالدخول ليس في .text → مريب

مقارنة الملفات الثنائية

يمكن لـ PE-bear عرض ملفين جنبًا إلى جنب — لا يقدر بثمن لمقارنة ما قبل/بعد فك التغليف أو مقارنة متغيرات البرامج الضارة.

الاستخدامالكيفية
معبأة مقابل مفكوكةمقارنة الرؤوس/الأقسام/الواردات
تحليل المتغيراتالفرق بين عينتين من عائلة
التحقق من التفريغقارن تفريغ الذاكرة بالأصلي

التحرير

القابليةملحوظة
تحرير حقول الرأسإصلاح أو تعديل قيم الرأس
تحرير الأقساماضبط خصائص القسم
إضافة/تحويلبعض التعديلات الهيكلية للإصلاح
حفظ باسماكتب PE معدلة

سير العمل الشائع

# فحص عينة Windows غير معروفة
1. اسحب العينة إلى PE-bear
2. تحقق من إنتروبيا القسم → عالي = على الأرجح معبأة
3. انظر إلى الواردات → صغير/غريب = حل وقت التشغيل (معبأة)
4. اقرأ الرأس الغني للحصول على تلميحات سلسلة الأدوات/الإسناد
5. افحص الموارد للحمولات المدمجة

# التحقق من تفريغ مفكوك
- قارن PE المفكوكة ضد الأصلي في عرض جنب إلى جنب
- أكد أن جدول عنوان الاستيراد ونقطة الدخول تبدو معقولة

PE-bear مقابل أدوات PE الأخرى

الجانبPE-bearCFF ExplorerDetect It EasyPEStudio
التركيزبنية PE + الفرقتحرير PEمعرّف الحزمة/الصيغةمؤشرات الهديد
ملفات PE المشوهةقوي جدًامعتدلقويمعتدل
مقارنة الملفاتنعملامحدودلا
الأفضل لـفحص + تحليل هيكليالتحريرتحديد الحزمفحص نمط IOC

يعمل بشكل جيد مع Detect It Easy لتحديد الحزمة وPE-sieve للكشف عن الرسائل المدمجة في الذاكرة.

الموارد