PE LiteScan
v1.1 (beta)
PE-Litescan (oder Pels ) ist ein einfacher heuristischer Analysator für gemeinsame PE-Anomalien, der sich speziell auf die Erkennung von Packern und Beschützern konzentriert. Für Windows und Linux entwickelt.
Download für Windows/Linux x64
Fenster
PE-LiteScan-windows.exe "file_to_check.exe"
Linux
./PE-LiteScan-linux "file_to_check.exe"
| Erkennungstyp | Beschreibung |
|---|---|
LAST_SECTION_ENTRYPOINT | Der Einstiegspunkt befindet sich im letzten Abschnitt der Datei. |
NO_TEXT_SECTION | In der PE -Datei fehlt .text -Abschnitt. |
STRANGE_OVERLAY | Komprimierte Daten im Overlay -Abschnitt der Datei. |
HIGH_ENTROPY | Hohe Entropie erkannt, wobei mögliche gepackte Daten angezeigt werden. |
NET_ANTI_ILDASM | Die .NET -Binärdatei hat das Attribut SuppressIldasmAttribute . |
PUSHAL_AT_ENTRY | Seltsamer Einstiegspunkt erkannt (z. B. beginnt mit PUSHAL -Anweisungen). |
CUSTOM_DOS_STUB | Ungewöhnlicher DoS -Stub in der PE -Datei. |
IMPORT_TABLE_MISSING | Die Importtabelle fehlt in der PE -Datei. |
SECTIONS_LIKE_%s | Abschnittsnamen stimmen mit bekannten Packer -Signaturen (z. B. UPX , VMProtect ) überein. |
SECTION_%d_HIGH_ENTROPY | Der Abschnitt enthält komprimierte Daten. |
WEIRD_%d_SECTION_NAME | Abschnitt sieht sehr seltsam aus. |
Angetrieben von
PeNetLibrary.
