コンテンツにスキップ

PE-bear - PEファイルリバースエンジニアリングツールチートシート

PE-bear - PEファイルリバースエンジニアリングツールチートシート

PE-bear (hasherezadeによる) は、フレンドリーなGUIを備えた無料のマルチプラットフォームPE (Portable Executable) 分析ツールです。Windows実行可能ファイルのすべての部分 — DOS/NTヘッダー、セクションテーブル、データディレクトリ、インポート/エクスポート、リソース、リッチヘッダー — を解析して表示します。不正なPEファイルに対して故意にロバストで、他のパーサーを破壊するマルウェアが配布するファイルに対応できます。バイナリを並べて比較でき、クイックマルウェア分類とアンパック検証のための定番ツールです。

インストール

プラットフォーム方法
Windows / LinuxGitHubリリースページからビルドをダウンロード
ソースからQt + bearparserサブモジュールでビルド
ポータブルインストール不要、抽出されたバイナリを実行
確認PE-bearを起動、PEをドラッグイン

ファイルの読み込み

アクション方法
PEを開くファイル → 開く、または .exe/.dll/.sys をドラッグイン
複数ファイルいくつかを読み込む、各タブが取得される
リロード外部変更後に再解析
保存修正をディスクに保存

検査可能な内容

パネル表示内容
DOS HeaderMZヘッダー、e_lfanewオフセット
Rich Headerコンパイラ/ツールチェーンのフィンガープリント (属性割り当てに優れている)
NT Headersファイルヘッダー + オプショナルヘッダー (エントリーポイント、サブシステム)
Section Headers名前、仮想/生のサイズ、特性、エントロピー
Importsバイナリが呼び出すDLLおよび機能
Exportsバイナリが公開する機能
Resourcesアイコン、マニフェスト、埋め込みデータ
Data Directoriesインポート/エクスポート/リロケーション/TLS/等テーブル

セクション読み込み (分類信号)

信号示唆すること
高エントロピーセクションパック/暗号化 (例: .text ~7.9+)
異常なセクション名UPX0, .vmp0, ランダム名 → パッカー
書き込み可能 + 実行可能セクション自己変更 / アンパッキングスタブ
小さなインポーテーブルランタイムで解決されるインポート (パック済み)
奇数なエントリーポイントセクション.text 内にないエントリー → 疑わしい

バイナリ比較

PE-bearは2つのファイルを並べて表示できます — アンパック前後または マルウェアバリアント比較に貴重です。

用途方法
パック済みとアンパック済みヘッダー/セクション/インポートを比較
バリアント分析2つのサンプルファミリーの差分
ダンプを検証メモリダンプを元のファイルと比較

編集

機能注記
ヘッダーフィールドを編集ヘッダー値の修正またはタンパー
セクションを編集セクション特性を調整
追加/変換修復用の構造的編集
名前を付けて保存修正されたPEを書き込み

一般的なワークフロー

# 未知のWindowsサンプルを分類
1. PE-bearにサンプルをドラッグ
2. セクションエントロピーをチェック → 高 = 可能性が高いパック
3. インポートを見る → 小さい/奇数 = ランタイム解決 (パック済み)
4. リッチヘッダーを読んでツールチェーン/属性割り当てのヒント
5. リソースを検査して埋め込みペイロード

# アンパック済みダンプを検証
- ダンプされたPEを並べて表示で元のファイルと比較
- IATとエントリーポイントが正常に見えることを確認

PE-bearと他のPEツール

側面PE-bearCFF ExplorerDetect It EasyPEStudio
フォーカスPE構造 + 差分PE編集パッカー/形式ID脅威インジケーター
不正なPE非常にロバスト中程度ロバスト中程度
ファイル比較はいいいえ限定的いいえ
最適用途分類 + 構造分析編集パッカー識別IOCスタイル分類

Detect It Easy でパッカー識別、PE-sieve でメモリ内インプラント検出と組み合わせるのに最適。

リソース