PE-bear - Herramienta de Análisis de Archivos PE
PE-bear (por hasherezade) es una herramienta gratuita y multiplataforma de análisis de PE (Portable Executable) con una GUI amigable. Analiza y muestra cada parte de un ejecutable de Windows — encabezados DOS/NT, tabla de secciones, directorios de datos, importaciones/exportaciones, recursos y encabezado rich — y es deliberadamente robusta contra archivos PE malformados que rompen otros analizadores, que es exactamente lo que el malware a menudo distribuye. También compara binarios lado a lado, lo que la convierte en una herramienta esencial para triage rápido de malware y verificación de desempaquetamiento.
Installation
| Platform | Cómo |
|---|
| Windows / Linux | Descarga una compilación desde la página de GitHub Releases |
| Desde código fuente | Compila con Qt + el submódulo bearparser |
| Portable | Sin instalación necesaria; ejecuta el binario extraído |
| Verificar | Lanza PE-bear; arrastra un PE dentro |
Loading Files
| Acción | Cómo |
|---|
| Abre un PE | File → Open, o arrastra .exe/.dll/.sys |
| Múltiples archivos | Carga varios; cada uno obtiene una pestaña |
| Recargue | Reanálisis después de cambios externos |
| Guardar | Guarda las modificaciones de vuelta al disco |
What You Can Inspect
| Panel | Muestra |
|---|
| DOS Header | Encabezado MZ, offset e_lfanew |
| Rich Header | Huella digital del compilador/toolchain (excelente para atribución) |
| NT Headers | Encabezado del archivo + encabezado opcional (punto de entrada, subsistema) |
| Section Headers | Nombres, tamaños virtuales/raw, características, entropía |
| Imports | DLL y funciones que llama el binario |
| Exports | Funciones que expone el binario |
| Resources | Iconos, manifiestos, datos incrustados |
| Data Directories | Tablas import/export/reloc/TLS/etc. |
Reading Sections (Triage Signals)
| Señal | Sugiere |
|---|
| Sección de alta entropía | Empaquetado/encriptado (p. ej. .text ~7.9+) |
| Nombres de sección inusuales | UPX0, .vmp0, nombres aleatorios → empaquetador |
| Sección escribible + ejecutable | Autosmodificación / stub de desempaquetamiento |
| Tabla de importaciones pequeña | Importaciones resueltas en tiempo de ejecución (empaquetado) |
| Punto de entrada de sección impar | Entrada no en .text → sospechoso |
Comparing Binaries
PE-bear puede mostrar dos archivos lado a lado — invaluable para antes/después de desempaquetamiento o comparar variantes de malware.
| Uso | Cómo |
|---|
| Empaquetado vs desempaquetado | Compara encabezados/secciones/importaciones |
| Análisis de variante | Diff dos muestras de una familia |
| Verificar un volcado | Compara un volcado de memoria al original |
Editing
| Capacidad | Nota |
|---|
| Editar campos de encabezado | Arregla o tamper con valores de encabezado |
| Editar secciones | Ajusta características de sección |
| Agregar/convertir | Algunas ediciones estructurales para reparación |
| Guardar como | Escribe el PE modificado |
Common Workflows
# Triage de una muestra de Windows desconocida
1. Arrastra la muestra en PE-bear
2. Verifica la entropía de la sección → alta = probablemente empaquetado
3. Mira las importaciones → pequeña/impar = resolución en tiempo de ejecución (empaquetado)
4. Lee el Rich Header para pistas de toolchain/atribución
5. Inspecciona recursos para cargas incrustadas
# Verifica un volcado desempaquetado
- Compara el PE volcado contra el original en vista lado a lado
- Confirma que la IAT y punto de entrada se ven sensatos
| Aspecto | PE-bear | CFF Explorer | Detect It Easy | PEStudio |
|---|
| Enfoque | Estructura PE + diff | Edición de PE | ID de empaquetador/formato | Indicadores de amenaza |
| PE malformados | Muy robusto | Moderado | Robusto | Moderado |
| Comparar archivos | Sí | No | Limitado | No |
| Mejor para | Triage + análisis estructural | Edición | Identificar empaquetadores | Triage estilo IOC |
Se empareja bien con Detect It Easy para identificación de empaquetador y PE-sieve para detección de implantes en memoria.
Resources