PE-bear - Cheatsheet Outil d”Analyse de Fichiers PE
PE-bear (par hasherezade) est un outil d”analyse PE (Portable Executable) gratuit et multiplateforme avec une GUI conviviale. Il analyse et affiche chaque partie d”un exécutable Windows — en-têtes DOS/NT, table des sections, répertoires de données, imports/exports, ressources et l”en-tête riche — et est délibérément robuste contre les fichiers PE malformés qui cassent d”autres analyseurs, ce qui est exactement ce que les malwares livrent souvent. Il compare aussi les binaires côte à côte, ce qui en fait un élément essentiel pour le triage rapide des malwares et la vérification du déballage.
Installation
| Plateforme | Comment |
|---|
| Windows / Linux | Télécharger une compilation depuis la page GitHub Releases |
| Depuis la source | Compiler avec Qt + le submodule bearparser |
| Portable | Aucune installation nécessaire ; exécuter le binaire extrait |
| Vérification | Lancer PE-bear ; glisser un PE dedans |
Chargement de Fichiers
| Action | Comment |
|---|
| Ouvrir un PE | Fichier → Ouvrir, ou glisser .exe/.dll/.sys |
| Fichiers multiples | Charger plusieurs ; chacun obtient un onglet |
| Recharger | Re-analyser après les modifications externes |
| Enregistrer | Enregistrer les modifications sur le disque |
Ce que Vous Pouvez Inspecter
| Panneau | Affiche |
|---|
| En-tête DOS | En-tête MZ, offset e_lfanew |
| En-tête Riche | Empreinte du compilateur/toolchain (excellente pour l”attribution) |
| En-têtes NT | En-tête fichier + en-tête optionnel (point d”entrée, sous-système) |
| En-têtes de Section | Noms, tailles virtuelles/brutes, caractéristiques, entropie |
| Imports | DLLs et fonctions appelées par le binaire |
| Exports | Fonctions exposées par le binaire |
| Ressources | Icônes, manifestes, données intégrées |
| Répertoires de Données | Tableaux import/export/reloc/TLS/etc. |
Lecture des Sections (Signaux de Triage)
| Signal | Suggère |
|---|
| Section d”entropie élevée | Empaqueté/chiffré (ex. .text ~7.9+) |
| Noms de section inhabituels | UPX0, .vmp0, noms aléatoires → packer |
| Section writable + executable | Auto-modification / stub de déballage |
| Minuscule table d”imports | Imports résolus à l”exécution (empaqueté) |
| Odd entry point section | Point d”entrée pas dans .text → suspect |
Comparaison de Binaires
PE-bear peut afficher deux fichiers côte à côte — inestimable pour avant/après déballage ou comparer des variantes de malwares.
| Utilisation | Comment |
|---|
| Empaqueté vs déballé | Comparer en-têtes/sections/imports |
| Analyse de variante | Diff deux échantillons d”une famille |
| Vérifier un dump | Comparer un dump mémoire à l”original |
Édition
| Capacité | Note |
|---|
| Éditer les champs d”en-tête | Corriger ou modifier les valeurs d”en-tête |
| Éditer les sections | Ajuster les caractéristiques des sections |
| Ajouter/convertir | Certains édits structurels pour la réparation |
| Enregistrer Sous | Écrire le PE modifié |
Flux de Travail Courants
# Triage d''un échantillon inconnu Windows
1. Glisser l''échantillon dans PE-bear
2. Vérifier l''entropie des sections → élevée = probablement empaqueté
3. Regarder les imports → minuscule/odd = résolution à l''exécution (empaqueté)
4. Lire l''en-tête Riche pour les indices toolchain/attribution
5. Inspecter les ressources pour les payloads intégrés
# Vérifier un dump déballé
- Comparer le PE dumpé contre l''original en vue côte à côte
- Confirmer l''IAT et le point d''entrée semblent sains
PE-bear vs Autres Outils PE
| Aspect | PE-bear | CFF Explorer | Detect It Easy | PEStudio |
|---|
| Focus | Structure PE + diff | Édition PE | Identification Packer/format | Indicateurs de menace |
| PE malformés | Très robuste | Modéré | Robuste | Modéré |
| Comparer fichiers | Oui | Non | Limité | Non |
| Meilleur pour | Triage + analyse structurelle | Édition | Identifier les packers | Triage style IOC |
Fonctionne bien avec Detect It Easy pour l”identification de packer et PE-sieve pour la détection d”implant en mémoire.
Ressources