PE LiteScan
v1.1 (beta)
PE-litescan (ou Pels ) est un analyseur heuristique simple pour les anomalies de PE courantes, se concentrant spécifiquement sur la détection des emballeurs et des protecteurs. Conçu pour Windows et Linux.
Télécharger pour Windows / Linux x64
Fenêtre
PE-LiteScan-windows.exe "file_to_check.exe"
Linux
./PE-LiteScan-linux "file_to_check.exe"
| Type de détection | Description |
|---|---|
LAST_SECTION_ENTRYPOINT | Le point d'entrée est situé dans la dernière section du fichier. |
NO_TEXT_SECTION | La section .text est absente dans le fichier PE. |
STRANGE_OVERLAY | Données compressées trouvées dans la section de superposition du fichier. |
HIGH_ENTROPY | Entropie élevée détectée, indiquant des données emballées possibles. |
NET_ANTI_ILDASM | Le binaire .NET a l'attribut SuppressIldasmAttribute . |
PUSHAL_AT_ENTRY | Point d'entrée étrange détecté (par exemple, commence par l'instruction PUSHAL ). |
CUSTOM_DOS_STUB | Stume DOS inhabituel trouvé dans le fichier PE. |
IMPORT_TABLE_MISSING | La table d'importation est manquante dans le fichier PE. |
SECTIONS_LIKE_%s | Les noms de section correspondent aux signatures de packer connues (par exemple, UPX , VMProtect ). |
SECTION_%d_HIGH_ENTROPY | La section contient des données compressées. |
WEIRD_%d_SECTION_NAME | La section a l'air très étrange. |
Propulsé par la bibliothèque
PeNet.
