Ir al contenido

PE-bear - Herramienta de Análisis de Archivos PE

PE-bear - Herramienta de Análisis de Archivos PE

PE-bear (por hasherezade) es una herramienta gratuita y multiplataforma de análisis de PE (Portable Executable) con una GUI amigable. Analiza y muestra cada parte de un ejecutable de Windows — encabezados DOS/NT, tabla de secciones, directorios de datos, importaciones/exportaciones, recursos y encabezado rich — y es deliberadamente robusta contra archivos PE malformados que rompen otros analizadores, que es exactamente lo que el malware a menudo distribuye. También compara binarios lado a lado, lo que la convierte en una herramienta esencial para triage rápido de malware y verificación de desempaquetamiento.

Installation

PlatformCómo
Windows / LinuxDescarga una compilación desde la página de GitHub Releases
Desde código fuenteCompila con Qt + el submódulo bearparser
PortableSin instalación necesaria; ejecuta el binario extraído
VerificarLanza PE-bear; arrastra un PE dentro

Loading Files

AcciónCómo
Abre un PEFile → Open, o arrastra .exe/.dll/.sys
Múltiples archivosCarga varios; cada uno obtiene una pestaña
RecargueReanálisis después de cambios externos
GuardarGuarda las modificaciones de vuelta al disco

What You Can Inspect

PanelMuestra
DOS HeaderEncabezado MZ, offset e_lfanew
Rich HeaderHuella digital del compilador/toolchain (excelente para atribución)
NT HeadersEncabezado del archivo + encabezado opcional (punto de entrada, subsistema)
Section HeadersNombres, tamaños virtuales/raw, características, entropía
ImportsDLL y funciones que llama el binario
ExportsFunciones que expone el binario
ResourcesIconos, manifiestos, datos incrustados
Data DirectoriesTablas import/export/reloc/TLS/etc.

Reading Sections (Triage Signals)

SeñalSugiere
Sección de alta entropíaEmpaquetado/encriptado (p. ej. .text ~7.9+)
Nombres de sección inusualesUPX0, .vmp0, nombres aleatorios → empaquetador
Sección escribible + ejecutableAutosmodificación / stub de desempaquetamiento
Tabla de importaciones pequeñaImportaciones resueltas en tiempo de ejecución (empaquetado)
Punto de entrada de sección imparEntrada no en .text → sospechoso

Comparing Binaries

PE-bear puede mostrar dos archivos lado a lado — invaluable para antes/después de desempaquetamiento o comparar variantes de malware.

UsoCómo
Empaquetado vs desempaquetadoCompara encabezados/secciones/importaciones
Análisis de varianteDiff dos muestras de una familia
Verificar un volcadoCompara un volcado de memoria al original

Editing

CapacidadNota
Editar campos de encabezadoArregla o tamper con valores de encabezado
Editar seccionesAjusta características de sección
Agregar/convertirAlgunas ediciones estructurales para reparación
Guardar comoEscribe el PE modificado

Common Workflows

# Triage de una muestra de Windows desconocida
1. Arrastra la muestra en PE-bear
2. Verifica la entropía de la sección → alta = probablemente empaquetado
3. Mira las importaciones → pequeña/impar = resolución en tiempo de ejecución (empaquetado)
4. Lee el Rich Header para pistas de toolchain/atribución
5. Inspecciona recursos para cargas incrustadas

# Verifica un volcado desempaquetado
- Compara el PE volcado contra el original en vista lado a lado
- Confirma que la IAT y punto de entrada se ven sensatos

PE-bear vs Other PE Tools

AspectoPE-bearCFF ExplorerDetect It EasyPEStudio
EnfoqueEstructura PE + diffEdición de PEID de empaquetador/formatoIndicadores de amenaza
PE malformadosMuy robustoModeradoRobustoModerado
Comparar archivosNoLimitadoNo
Mejor paraTriage + análisis estructuralEdiciónIdentificar empaquetadoresTriage estilo IOC

Se empareja bien con Detect It Easy para identificación de empaquetador y PE-sieve para detección de implantes en memoria.

Resources