Pular para o conteúdo

PE-bear - Cheatsheet da Ferramenta de Reversão de Arquivos PE

PE-bear - Cheatsheet da Ferramenta de Reversão de Arquivos PE

PE-bear (por hasherezade) é uma ferramenta gratuita e multiplataforma de análise PE (Portable Executable) com uma GUI amigável. Analisa e exibe cada parte de um executável Windows — headers DOS/NT, tabela de seções, diretórios de dados, imports/exports, resources e rich header — e é deliberadamente robusto contra arquivos PE malformados que quebram outros parsers, que é exatamente o que malware frequentemente envia. Também compara binários lado a lado, tornando-o um padrão para triagem rápida de malware e verificação de unpacking.

Instalação

PlatformComo
Windows / LinuxFaça download de uma build da página GitHub Releases
Do sourceConstrua com Qt + o submodule bearparser
PortávelNão há instalação necessária; apenas execute o binário extraído
VerificarAbra PE-bear; arraste um PE para dentro

Carregando Arquivos

AçãoComo
Abra um PEFile → Open, ou arraste .exe/.dll/.sys para dentro
Múltiplos arquivosCarregue vários; cada um recebe uma aba
ReloadRe-analise após mudanças externas
SaveSalve modificações de volta para o disco

O Que Você Pode Inspecionar

PanelMostra
DOS HeaderHeader MZ, offset e_lfanew
Rich HeaderFingerprint do compilador/toolchain (ótimo para atribuição)
NT HeadersFile header + optional header (entry point, subsystem)
Section HeadersNomes, tamanhos virtual/raw, características, entropy
ImportsDLLs e funções que o binário chama
ExportsFunções que o binário expõe
ResourcesÍcones, manifests, dados incorporados
Data DirectoriesTabelas de import/export/reloc/TLS/etc.

Lendo Seções (Sinais de Triagem)

SinalSugere
Seção de entropy altaEmpacotado/encriptado (ex. .text ~7.9+)
Nomes de seção inusitadosUPX0, .vmp0, nomes aleatórios → empacotador
Seção gravável + executávelCódigo auto-modificável / stub de unpacking
Tabela de imports minúsculaImports resolvidos em tempo de execução (empacotado)
Seção de entry point estranhaEntry não em .text → suspeito

Comparando Binários

PE-bear pode mostrar dois arquivos lado a lado — inestimável para antes/depois de unpacking ou comparando variantes de malware.

UsoComo
Empacotado vs desempacotadoCompare headers/seções/imports
Análise de varianteDiff de duas amostras de uma família
Verifique um dumpCompare um memory dump com o original

Edição

CapacidadeNota
Edite campos de headerCorrija ou tamper com valores de header
Edite seçõesAjuste características de seção
Add/convertAlgumas edições estruturais para reparo
Save AsEscreva o PE modificado

Fluxos de Trabalho Comuns

# Faça triagem de uma amostra Windows desconhecida
1. Arraste a amostra para PE-bear
2. Verifique entropy da seção → alta = provavelmente empacotada
3. Veja imports → minúsculo/estranho = resolução em tempo de execução (empacotado)
4. Leia o Rich Header para dicas de toolchain/atribuição
5. Inspecione resources para payloads incorporados

# Verifique um dump desempacotado
- Compare o PE dumpado contra o original em visualização lado a lado
- Confirme que IAT e entry point parecem sensatos

PE-bear vs Outras Ferramentas PE

AspectoPE-bearCFF ExplorerDetect It EasyPEStudio
FocoEstrutura PE + diffEdição PEIdentificação de packer/formatoIndicadores de ameaça
PEs malformadosMuito robustoModeradoRobustoModerado
Comparar arquivosSimNãoLimitadoNão
Melhor paraTriagem + análise estruturalEdiçãoIdentificação de empacotadoresTriagem estilo IOC

Funciona bem com Detect It Easy para identificação de empacotador e PE-sieve para detecção de implant em memória.

Recursos