PE LiteScan
v1.1 (beta)
PE-LiteScan (или PELS )-это простой эвристический анализатор для общих пенсионов, в частности, сосредоточенным на обнаружении упаковщиков и защитников. Предназначен для Windows и Linux.
Скачать для Windows/Linux X64
Окна
PE-LiteScan-windows.exe "file_to_check.exe"
Linux
./PE-LiteScan-linux "file_to_check.exe"
| Тип обнаружения | Описание |
|---|---|
LAST_SECTION_ENTRYPOINT | Точка входа находится в последнем разделе файла. |
NO_TEXT_SECTION | В разделе .text отсутствует в файле PE. |
STRANGE_OVERLAY | Сжатые данные, найденные в разделе «наложения файла». |
HIGH_ENTROPY | Выявленная энтропия, что указывает на возможные упакованные данные. |
NET_ANTI_ILDASM | Бинарник .NET имеет атрибут SuppressIldasmAttribute . |
PUSHAL_AT_ENTRY | Обнаружена странная точка входа (например, начинается с инструкции PUSHAL ). |
CUSTOM_DOS_STUB | Необычный DOS STUB найден в файле PE. |
IMPORT_TABLE_MISSING | Таблица импорта отсутствует в файле PE. |
SECTIONS_LIKE_%s | Имена разделов соответствуют известным подписям упаковки (например, UPX , VMProtect ). |
SECTION_%d_HIGH_ENTROPY | Раздел содержит сжатые данные. |
WEIRD_%d_SECTION_NAME | Секция выглядит очень странно. |
Основано библиотекой
PeNet.
