PE LiteScan
v1.1 (beta)
PE-Litescan (またはPELS )は、特にパッカーと保護者の検出に焦点を当てた、一般的なPEアノマリーの単純なヒューリスティック分析器です。 WindowsとLinux用に設計されています。
Windows/Linux x64のダウンロード
Windows
PE-LiteScan-windows.exe "file_to_check.exe"
Linux
./PE-LiteScan-linux "file_to_check.exe"
| 検出タイプ | 説明 |
|---|---|
LAST_SECTION_ENTRYPOINT | エントリポイントは、ファイルの最後のセクションにあります。 |
NO_TEXT_SECTION | .textセクションはPEファイルから欠落しています。 |
STRANGE_OVERLAY | ファイルのオーバーレイセクションにある圧縮データ。 |
HIGH_ENTROPY | 高いエントロピーが検出され、可能なパックされたデータを示しています。 |
NET_ANTI_ILDASM | .NETバイナリには、 SuppressIldasmAttribute属性があります。 |
PUSHAL_AT_ENTRY | 奇妙なエントリポイントが検出されました(例えば、 PUSHAL命令から始まります)。 |
CUSTOM_DOS_STUB | PEファイルにある珍しいDOSスタブ。 |
IMPORT_TABLE_MISSING | インポートテーブルはPEファイルから欠落しています。 |
SECTIONS_LIKE_%s | セクション名は、既知のパッカー署名( UPX 、 VMProtectなど)と一致します。 |
SECTION_%d_HIGH_ENTROPY | セクションには圧縮データが含まれています。 |
WEIRD_%d_SECTION_NAME | セクションはとても奇妙に見えます。 |
PeNetLibraryを搭載。
