PE LiteScan
v1.1 (beta)
PE-LITESCAN (o PELS ) es un analizador heurístico simple para las anomalías comunes de PE, enfocándose específicamente en la detección de empacadores y protectores. Diseñado para Windows y Linux.
Descargar para Windows/Linux x64
Windows
PE-LiteScan-windows.exe "file_to_check.exe"
Linux
./PE-LiteScan-linux "file_to_check.exe"
| Tipo de detección | Descripción |
|---|---|
LAST_SECTION_ENTRYPOINT | El punto de entrada se encuentra en la última sección del archivo. |
NO_TEXT_SECTION | Falta la sección .text en el archivo PE. |
STRANGE_OVERLAY | Datos comprimidos encontrados en la sección de superposición del archivo. |
HIGH_ENTROPY | Alta entropía detectada, lo que indica posibles datos empaquetados. |
NET_ANTI_ILDASM | El binario .NET tiene el atributo SuppressIldasmAttribute . |
PUSHAL_AT_ENTRY | Punto de entrada extraño detectado (por ejemplo, comienza con instrucción PUSHAL ). |
CUSTOM_DOS_STUB | DOS inusual que se encuentra en el archivo PE. |
IMPORT_TABLE_MISSING | Falta la tabla de importación del archivo PE. |
SECTIONS_LIKE_%s | Los nombres de la sección coinciden con las firmas de empacadores conocidas (por ejemplo, UPX , VMProtect ). |
SECTION_%d_HIGH_ENTROPY | La sección contiene datos comprimidos. |
WEIRD_%d_SECTION_NAME | La sección se ve muy extraña. |
Impulsado por
PeNetLibrary.
