PE-bear - أداة عكس ملفات PE
PE-bear (من قبل hasherezade) هي أداة تحليل ملفات PE (Portable Executable) مفتوحة المصدر متعددة المنصات مع واجهة رسومية ودية. تحلل وتعرض كل جزء من ملف تنفيذي Windows — رؤوس DOS/NT وجدول القسم وجداول البيانات والواردات/الصادرات والموارد والرأس الغني — وهي متحفظة عن قصد حول ملفات PE المشوهة التي تكسر محللات أخرى، وهذا بالضبط ما تشحنه البرامج الضارة في كثير من الأحيان. كما أنها تقارن الملفات الثنائية جنبًا إلى جنب، مما يجعلها أساسية لفحص البرامج الضارة السريعة والتحقق من فك التغليف.
التثبيت
| المنصة | الكيفية |
|---|
| Windows / Linux | قم بتنزيل إنشاء من صفحة GitHub Releases |
| من المصدر | البناء باستخدام Qt + وحدة bearparser الفرعية |
| محمول | لا حاجة للتثبيت؛ قم بتشغيل الملف الثنائي المستخرج |
| التحقق | قم بتشغيل PE-bear؛ اسحب PE فيه |
تحميل الملفات
| الإجراء | الكيفية |
|---|
| افتح PE | File → Open أو اسحب .exe/.dll/.sys |
| ملفات متعددة | حمّل عدة؛ يحصل كل على علامة تبويب |
| إعادة تحميل | أعد التحليل بعد التغييرات الخارجية |
| حفظ | احفظ التعديلات مرة أخرى على القرص |
ما الذي يمكنك الفحص
| اللوحة | العروض |
|---|
| DOS Header | رأس MZ وإزاحة e_lfanew |
| Rich Header | بصمة المترجم/سلسلة الأدوات (رائعة للإسناد) |
| NT Headers | رأس الملف + رأس اختياري (نقطة الدخول والنظام الفرعي) |
| Section Headers | الأسماء والأحجام الافتراضية/الخام والخصائص والإنتروبيا |
| Imports | مكتبات DLL والوظائف التي يستدعيها الملف الثنائي |
| Exports | الوظائف التي يعرضها الملف الثنائي |
| Resources | الرموز والبيانات والبيانات المدمجة |
| Data Directories | جداول الاستيراد/التصدير/الإعادة/TLS/إلخ. |
قراءة الأقسام (إشارات الفحص)
| الإشارة | توحي |
|---|
| قسم عالي الإنتروبيا | معبأ/مشفر (على سبيل المثال .text ~7.9+) |
| أسماء أقسام غير عادية | UPX0 أو .vmp0 أو أسماء عشوائية → حزمة |
| قسم قابل للكتابة + قابل للتنفيذ | تعديل ذاتي / ملخص فك التغليف |
| جدول الواردات الصغير | المؤشرات الموزعة في وقت التشغيل (معبأة) |
| نقطة دخول قسم غريبة | الدخول ليس في .text → مريب |
مقارنة الملفات الثنائية
يمكن لـ PE-bear عرض ملفين جنبًا إلى جنب — لا يقدر بثمن لمقارنة ما قبل/بعد فك التغليف أو مقارنة متغيرات البرامج الضارة.
| الاستخدام | الكيفية |
|---|
| معبأة مقابل مفكوكة | مقارنة الرؤوس/الأقسام/الواردات |
| تحليل المتغيرات | الفرق بين عينتين من عائلة |
| التحقق من التفريغ | قارن تفريغ الذاكرة بالأصلي |
التحرير
| القابلية | ملحوظة |
|---|
| تحرير حقول الرأس | إصلاح أو تعديل قيم الرأس |
| تحرير الأقسام | اضبط خصائص القسم |
| إضافة/تحويل | بعض التعديلات الهيكلية للإصلاح |
| حفظ باسم | اكتب PE معدلة |
سير العمل الشائع
# فحص عينة Windows غير معروفة
1. اسحب العينة إلى PE-bear
2. تحقق من إنتروبيا القسم → عالي = على الأرجح معبأة
3. انظر إلى الواردات → صغير/غريب = حل وقت التشغيل (معبأة)
4. اقرأ الرأس الغني للحصول على تلميحات سلسلة الأدوات/الإسناد
5. افحص الموارد للحمولات المدمجة
# التحقق من تفريغ مفكوك
- قارن PE المفكوكة ضد الأصلي في عرض جنب إلى جنب
- أكد أن جدول عنوان الاستيراد ونقطة الدخول تبدو معقولة
PE-bear مقابل أدوات PE الأخرى
| الجانب | PE-bear | CFF Explorer | Detect It Easy | PEStudio |
|---|
| التركيز | بنية PE + الفرق | تحرير PE | معرّف الحزمة/الصيغة | مؤشرات الهديد |
| ملفات PE المشوهة | قوي جدًا | معتدل | قوي | معتدل |
| مقارنة الملفات | نعم | لا | محدود | لا |
| الأفضل لـ | فحص + تحليل هيكلي | التحرير | تحديد الحزم | فحص نمط IOC |
يعمل بشكل جيد مع Detect It Easy لتحديد الحزمة وPE-sieve للكشف عن الرسائل المدمجة في الذاكرة.
الموارد