Aller au contenu

PE-bear - Cheatsheet Outil d'Analyse de Fichiers PE

PE-bear - Cheatsheet Outil d”Analyse de Fichiers PE

PE-bear (par hasherezade) est un outil d”analyse PE (Portable Executable) gratuit et multiplateforme avec une GUI conviviale. Il analyse et affiche chaque partie d”un exécutable Windows — en-têtes DOS/NT, table des sections, répertoires de données, imports/exports, ressources et l”en-tête riche — et est délibérément robuste contre les fichiers PE malformés qui cassent d”autres analyseurs, ce qui est exactement ce que les malwares livrent souvent. Il compare aussi les binaires côte à côte, ce qui en fait un élément essentiel pour le triage rapide des malwares et la vérification du déballage.

Installation

PlateformeComment
Windows / LinuxTélécharger une compilation depuis la page GitHub Releases
Depuis la sourceCompiler avec Qt + le submodule bearparser
PortableAucune installation nécessaire ; exécuter le binaire extrait
VérificationLancer PE-bear ; glisser un PE dedans

Chargement de Fichiers

ActionComment
Ouvrir un PEFichier → Ouvrir, ou glisser .exe/.dll/.sys
Fichiers multiplesCharger plusieurs ; chacun obtient un onglet
RechargerRe-analyser après les modifications externes
EnregistrerEnregistrer les modifications sur le disque

Ce que Vous Pouvez Inspecter

PanneauAffiche
En-tête DOSEn-tête MZ, offset e_lfanew
En-tête RicheEmpreinte du compilateur/toolchain (excellente pour l”attribution)
En-têtes NTEn-tête fichier + en-tête optionnel (point d”entrée, sous-système)
En-têtes de SectionNoms, tailles virtuelles/brutes, caractéristiques, entropie
ImportsDLLs et fonctions appelées par le binaire
ExportsFonctions exposées par le binaire
RessourcesIcônes, manifestes, données intégrées
Répertoires de DonnéesTableaux import/export/reloc/TLS/etc.

Lecture des Sections (Signaux de Triage)

SignalSuggère
Section d”entropie élevéeEmpaqueté/chiffré (ex. .text ~7.9+)
Noms de section inhabituelsUPX0, .vmp0, noms aléatoires → packer
Section writable + executableAuto-modification / stub de déballage
Minuscule table d”importsImports résolus à l”exécution (empaqueté)
Odd entry point sectionPoint d”entrée pas dans .text → suspect

Comparaison de Binaires

PE-bear peut afficher deux fichiers côte à côte — inestimable pour avant/après déballage ou comparer des variantes de malwares.

UtilisationComment
Empaqueté vs déballéComparer en-têtes/sections/imports
Analyse de varianteDiff deux échantillons d”une famille
Vérifier un dumpComparer un dump mémoire à l”original

Édition

CapacitéNote
Éditer les champs d”en-têteCorriger ou modifier les valeurs d”en-tête
Éditer les sectionsAjuster les caractéristiques des sections
Ajouter/convertirCertains édits structurels pour la réparation
Enregistrer SousÉcrire le PE modifié

Flux de Travail Courants

# Triage d''un échantillon inconnu Windows
1. Glisser l''échantillon dans PE-bear
2. Vérifier l''entropie des sections → élevée = probablement empaqueté
3. Regarder les imports → minuscule/odd = résolution à l''exécution (empaqueté)
4. Lire l''en-tête Riche pour les indices toolchain/attribution
5. Inspecter les ressources pour les payloads intégrés

# Vérifier un dump déballé
- Comparer le PE dumpé contre l''original en vue côte à côte
- Confirmer l''IAT et le point d''entrée semblent sains

PE-bear vs Autres Outils PE

AspectPE-bearCFF ExplorerDetect It EasyPEStudio
FocusStructure PE + diffÉdition PEIdentification Packer/formatIndicateurs de menace
PE malformésTrès robusteModéréRobusteModéré
Comparer fichiersOuiNonLimitéNon
Meilleur pourTriage + analyse structurelleÉditionIdentifier les packersTriage style IOC

Fonctionne bien avec Detect It Easy pour l”identification de packer et PE-sieve pour la détection d”implant en mémoire.

Ressources