PE LiteScan
v1.1 (beta)
O PE-Litescan (ou PELs ) é um analisador heurístico simples para ânomalias comuns de PE, concentrando-se especificamente na detecção de Packers e Protetores. Projetado para Windows e Linux.
Baixe para Windows/Linux x64
Windows
PE-LiteScan-windows.exe "file_to_check.exe"
Linux
./PE-LiteScan-linux "file_to_check.exe"
| Tipo de detecção | Descrição |
|---|---|
LAST_SECTION_ENTRYPOINT | O ponto de entrada está localizado na última seção do arquivo. |
NO_TEXT_SECTION | A seção .text está ausente no arquivo PE. |
STRANGE_OVERLAY | Dados compactados encontrados na seção de sobreposição do arquivo. |
HIGH_ENTROPY | Alta entropia detectada, indicando possíveis dados embalados. |
NET_ANTI_ILDASM | O binário .NET possui o atributo SuppressIldasmAttribute . |
PUSHAL_AT_ENTRY | Ponto de entrada estranha detectado (por exemplo, começa com instruções PUSHAL ). |
CUSTOM_DOS_STUB | Dos Stub incomum encontrado no arquivo PE. |
IMPORT_TABLE_MISSING | A tabela de importação está faltando no arquivo PE. |
SECTIONS_LIKE_%s | Os nomes da seção correspondem às assinaturas conhecidas do Packer (por exemplo, UPX , VMProtect ). |
SECTION_%d_HIGH_ENTROPY | A seção contém dados compactados. |
WEIRD_%d_SECTION_NAME | A seção parece muito estranha. |
Alimentado pela Biblioteca
PeNet.
