PE LiteScan
v1.1 (beta)
PE-Litescan (أو PELS ) هو محلل إرشادي بسيط لحالات PE المشتركة ، مع التركيز على وجه التحديد على اكتشاف الرازم والحماة. مصمم لنظام التشغيل Windows و Linux.
تنزيل لنظام التشغيل Windows/Linux X64
النوافذ
PE-LiteScan-windows.exe "file_to_check.exe"
Linux
./PE-LiteScan-linux "file_to_check.exe"
| نوع الكشف | وصف |
|---|---|
LAST_SECTION_ENTRYPOINT | تقع نقطة الدخول في القسم الأخير من الملف. |
NO_TEXT_SECTION | قسم .text مفقود من ملف PE. |
STRANGE_OVERLAY | البيانات المضغوطة الموجودة في قسم التراكب بالملف. |
HIGH_ENTROPY | تم اكتشاف الانتروبيا العالية ، مما يشير إلى البيانات المعبأة المحتملة. |
NET_ANTI_ILDASM | .NET Binary لديه سمة SuppressIldasmAttribute . |
PUSHAL_AT_ENTRY | نقطة دخول غريبة تم اكتشافها (على سبيل المثال ، تبدأ بتعليمات PUSHAL ). |
CUSTOM_DOS_STUB | DOS DOS غير عادية الموجودة في ملف PE. |
IMPORT_TABLE_MISSING | جدول الاستيراد مفقود من ملف PE. |
SECTIONS_LIKE_%s | تتطابق أسماء الأقسام مع توقيعات باكر المعروفة (على سبيل المثال ، UPX ، VMProtect ). |
SECTION_%d_HIGH_ENTROPY | يحتوي القسم على بيانات مضغوطة. |
WEIRD_%d_SECTION_NAME | القسم يبدو غريبا جدا. |
مدعوم من مكتبة
PeNet.
