PE LiteScan
v1.1 (beta)
PE-Litescan (atau PELS ) adalah penganalisa heuristik sederhana untuk anomali PE umum, khususnya berfokus pada deteksi pengepakan dan pelindung. Dirancang untuk Windows dan Linux.
Unduh untuk Windows/Linux X64
Windows
PE-LiteScan-windows.exe "file_to_check.exe"
Linux
./PE-LiteScan-linux "file_to_check.exe"
| Jenis deteksi | Keterangan |
|---|---|
LAST_SECTION_ENTRYPOINT | Titik masuk terletak di bagian terakhir file. |
NO_TEXT_SECTION | Bagian .text tidak ada dari file PE. |
STRANGE_OVERLAY | Data terkompresi ditemukan di bagian overlay file. |
HIGH_ENTROPY | Entropi tinggi terdeteksi, menunjukkan kemungkinan data yang dikemas. |
NET_ANTI_ILDASM | Biner .NET memiliki atribut SuppressIldasmAttribute . |
PUSHAL_AT_ENTRY | Titik masuk aneh terdeteksi (misalnya, dimulai dengan instruksi PUSHAL ). |
CUSTOM_DOS_STUB | Stub dos yang tidak biasa ditemukan dalam file PE. |
IMPORT_TABLE_MISSING | Tabel impor hilang dari file PE. |
SECTIONS_LIKE_%s | Nama bagian cocok dengan tanda tangan packer yang diketahui (misalnya, UPX , VMProtect ). |
SECTION_%d_HIGH_ENTROPY | Bagian berisi data terkompresi. |
WEIRD_%d_SECTION_NAME | Bagian terlihat sangat aneh. |
Didukung oleh Perpustakaan
PeNet.
