Salta ai contenuti

PE-bear - Cheatsheet PE File Reversing Tool

PE-bear - Cheatsheet PE File Reversing Tool

PE-bear (by hasherezade) è uno strumento gratuito, multi-piattaforma PE (Portable Executable) analysis con una GUI user-friendly. Parsa e mostra ogni parte di un eseguibile Windows — DOS/NT headers, sezione table, data directories, imports/exports, risorse, e il rich header — ed è deliberatamente robusto contro PE files malformati che rompono altri parser, che è esattamente quello che il malware spesso spedisce. Inoltre compara binari affiancati, rendendolo uno strumento essenziale per quick malware triage e unpacking verification.

Installazione

PiattaformaCome
Windows / LinuxScarica una build dalla pagina GitHub Releases
From sourceBuild con Qt + il submodule bearparser
PortableNessuna installazione necessaria; esegui il binario estratto
VerificaLancia PE-bear; trascina un PE dentro

Caricamento File

AzioneCome
Apri un PEFile → Open, o trascina .exe/.dll/.sys dentro
File multipliCarica parecchi; ciascuno ottiene una tab
RicaricaRiparsa dopo cambiamenti esterni
SalvaSalva modificazioni back to disk

Cosa Puoi Ispezionare

PanelMostra
DOS HeaderMZ header, e_lfanew offset
Rich HeaderCompiler/toolchain fingerprint (great for attribution)
NT HeadersFile header + optional header (entry point, subsystem)
Section HeadersNames, virtual/raw sizes, characteristics, entropy
ImportsDLLs e funzioni che il binario chiama
ExportsFunzioni che il binario espone
ResourcesIcons, manifests, embedded data
Data DirectoriesImport/export/reloc/TLS/etc. tables

Lettura delle Sezioni (Triage Signals)

SignalSuggerisce
High entropy sectionPacked/encrypted (e.g. .text ~7.9+)
Unusual section namesUPX0, .vmp0, nomi random → packer
Writable + executable sectionSelf-modifying / unpacking stub
Tiny imports tableImports resolved at runtime (packed)
Odd entry point sectionEntry not in .text → suspicious

Comparazione di Binari

PE-bear può mostrare due file affiancati — inestimabile per prima/dopo unpacking o comparazione di malware variants.

UsaCome
Packed vs unpackedCompara headers/sections/imports
Variant analysisDiff due campioni della stessa famiglia
Verifica un dumpCompara un memory dump all”originale

Editing

CapabilityNota
Edit header fieldsAggiusta o modifica i valori dell”header
Edit sectionsAggiusta le caratteristiche della sezione
Add/convertAlcuni edits strutturali per riparazione
Save AsScrivi il PE modificato

Workflow Comuni

# Triage di un campione Windows sconosciuto
1. Trascina il campione in PE-bear
2. Controlla l''entropy della sezione → high = likely packed
3. Guarda gli imports → tiny/odd = runtime resolution (packed)
4. Leggi il Rich Header per toolchain/attribution hints
5. Ispeziona le risorse per embedded payloads

# Verifica un dumped unpacked
- Compara il dumped PE contro l''originale in side-by-side view
- Conferma che l''IAT e entry point sembrano sani

PE-bear vs Altri PE Tools

AspettoPE-bearCFF ExplorerDetect It EasyPEStudio
FocusPE structure + diffPE editingPacker/format IDThreat indicators
Malformed PEsVery robustModerateRobustModerate
Compare filesYesNoLimitedNo
Best forTriage + structural analysisEditingIdentifying packersIOC-style triage

Pairs well with Detect It Easy per packer identification e PE-sieve per in-memory implant detection.

Risorse