PE LiteScan
v1.1 (beta)
Pe-Litescan (또는 PELS )은 일반적인 PE- 분석을위한 간단한 휴리스틱 분석기, 특히 패커 및 보호자의 탐지에 중점을 둡니다. Windows 및 Linux 용으로 설계되었습니다.
Windows/Linux X64 용 다운로드
창
PE-LiteScan-windows.exe "file_to_check.exe"
리눅스
./PE-LiteScan-linux "file_to_check.exe"
| 감지 유형 | 설명 |
|---|---|
LAST_SECTION_ENTRYPOINT | 진입 점은 파일의 마지막 섹션에 있습니다. |
NO_TEXT_SECTION | PE 파일에서 .text 섹션이 누락되었습니다. |
STRANGE_OVERLAY | 파일의 오버레이 섹션에있는 압축 데이터. |
HIGH_ENTROPY | 높은 엔트로피가 감지되어 가능한 포장 데이터를 나타냅니다. |
NET_ANTI_ILDASM | .NET 바이너리에는 SuppressIldasmAttribute 속성이 있습니다. |
PUSHAL_AT_ENTRY | 이상한 진입 점이 감지되었습니다 (예 : PUSHAL 명령으로 시작). |
CUSTOM_DOS_STUB | PE 파일에서 발견 된 특이한 DOS 스터브. |
IMPORT_TABLE_MISSING | PE 파일에서 가져 오기 테이블이 누락되었습니다. |
SECTIONS_LIKE_%s | 섹션 이름은 알려진 패커 서명 (예 : UPX , VMProtect )과 일치합니다. |
SECTION_%d_HIGH_ENTROPY | 섹션에는 압축 데이터가 포함되어 있습니다. |
WEIRD_%d_SECTION_NAME | 섹션은 매우 이상하게 보입니다. |
PeNet라이브러리로 구동.
