Zum Inhalt springen

PE-bear - PE-Datei-Reverse-Engineering-Tool-Spickzettel

PE-bear - PE-Datei-Reverse-Engineering-Tool-Spickzettel

PE-bear (von hasherezade) ist ein kostenloses, plattformübergreifendes PE (Portable Executable)-Analysetool mit benutzerfreundlichem GUI. Es parst und zeigt jeden Teil einer Windows-Datei an — DOS/NT-Header, Section-Tabelle, Data-Verzeichnisse, Importe/Exporte, Ressourcen und den Rich-Header — und ist absichtlich robust gegenüber malformed PE-Dateien, die andere Parser kaputt machen, was genau das ist, was Malware oft hat. Es vergleicht auch Binärdateien nebeneinander, was es zu einem Klassiker für schnelle Malware-Triage und Unpacking-Verifizierung macht.

Installation

PlattformWie
Windows / LinuxBuild von der GitHub-Releases-Seite herunterladen
Aus der QuelleMit Qt + dem bearparser-Submodul bauen
PortabelKeine Installation erforderlich; extrahierte Binärdatei ausführen
VerifizierenPE-bear starten; eine PE hineinziehen

Dateien laden

AktionWie
PE öffnenDatei → Öffnen oder .exe/.dll/.sys hineinziehen
Mehrere DateienMehrere laden; jede bekommt einen Tab
Neu ladenNach externen Änderungen neu parsen
SpeichernÄnderungen zurück auf die Festplatte speichern

Was Sie untersuchen können

PanelZeigt
DOS-HeaderMZ-Header, e_lfanew-Offset
Rich-HeaderCompiler/Toolchain-Fingerabdruck (großartig für Attribution)
NT-HeaderDatei-Header + optionaler Header (Entry-Punkt, Subsystem)
Section-HeaderNamen, virtuelle/rohe Größen, Merkmale, Entropie
ImporteDLLs und Funktionen, die die Binärdatei aufruft
ExporteFunktionen, die die Binärdatei macht
RessourcenIcons, Manifeste, eingebettete Daten
Data-VerzeichnisseImport/Export/Reloc/TLS/etc. Tabellen

Reading Sections (Triage-Signale)

SignalDeutet darauf hin
Hohe-Entropie-SectionGepackt/verschlüsselt (z.B. .text ~7.9+)
Ungewöhnliche Section-NamenUPX0, .vmp0, zufällige Namen → Packer
Schreibbar + ausführbare SectionSelf-Modifying / Unpacking-Stub
Winzige Imports-TabelleImports zur Laufzeit gelöst (gepackt)
Odd Entry-Point-SectionEntry nicht in .text → verdächtig

Binärdateien vergleichen

PE-bear kann zwei Dateien nebeneinander anzeigen — unschätzbar für vor/nach dem Unpacking oder zum Vergleichen von Malware-Varianten.

VerwendungWie
Gepackt vs. ungepacktHeader/Abschnitte/Importe vergleichen
Varianten-AnalyseDiff zwei Samples einer Familie
Dump überprüfenMemory-Dump mit dem Original vergleichen

Bearbeitung

FähigkeitNotiz
Header-Felder bearbeitenHeader-Werte reparieren oder manipulieren
Abschnitte bearbeitenSection-Merkmale anpassen
Hinzufügen/konvertierenEinige strukturelle Edits zur Reparatur
Speichern unterGeänderte PE schreiben

Häufige Workflows

# Triage eines unbekannten Windows-Samples
1. Sample in PE-bear ziehen
2. Section-Entropie überprüfen → high = wahrscheinlich gepackt
3. Importe ansehen → winzig/odd = Runtime-Auflösung (gepackt)
4. Rich-Header für Toolchain/Attribution-Hinweise lesen
5. Ressourcen auf eingebettete Payloads überprüfen

# Ungepackten Dump überprüfen
- Gecheckten Dump gegen das Original in Nebenansicht vergleichen
- IAT und Entry-Punkt überprüfen

PE-bear im Vergleich zu anderen PE-Tools

AspektPE-bearCFF ExplorerDetect It EasyPEStudio
FokusPE-Struktur + DiffPE-BearbeitungPacker/Format-IDThreat-Indikatoren
Malformed PEsSehr robustModeratRobustModerat
Dateien vergleichenJaNeinBegrenztNein
Best fürTriage + StrukturanalyseBearbeitungPacker identifizierenIOC-Style-Triage

Funktioniert gut mit Detect It Easy zur Packer-Identifikation und PE-sieve zur In-Memory-Implant-Erkennung.

Ressourcen