PE LiteScan
v1.1 (beta)
PE-Litescan (หรือ PELS ) เป็นตัววิเคราะห์ฮิวริสติกอย่างง่ายสำหรับ pe-anomalies ทั่วไปโดยเฉพาะการมุ่งเน้นไปที่การตรวจจับของ packers และ protectors ออกแบบมาสำหรับ Windows และ Linux
ดาวน์โหลดสำหรับ windows/linux x64
หน้าต่าง
PE-LiteScan-windows.exe "file_to_check.exe"
ลินเวกซ์
./PE-LiteScan-linux "file_to_check.exe"
| ประเภทการตรวจจับ | คำอธิบาย |
|---|---|
LAST_SECTION_ENTRYPOINT | จุดเริ่มต้นอยู่ในส่วนสุดท้ายของไฟล์ |
NO_TEXT_SECTION | ส่วน .text หายไปจากไฟล์ PE |
STRANGE_OVERLAY | ข้อมูลบีบอัดที่พบในส่วนซ้อนทับของไฟล์ |
HIGH_ENTROPY | ตรวจพบเอนโทรปีสูงซึ่งระบุข้อมูลที่เป็นไปได้ |
NET_ANTI_ILDASM | .NET Binary มีแอตทริบิวต์ SuppressIldasmAttribute |
PUSHAL_AT_ENTRY | ตรวจพบจุดเริ่มต้นที่แปลก (เช่นเริ่มต้นด้วยคำสั่ง PUSHAL ) |
CUSTOM_DOS_STUB | Dos Stub ที่ผิดปกติพบในไฟล์ PE |
IMPORT_TABLE_MISSING | ตารางนำเข้าหายไปจากไฟล์ PE |
SECTIONS_LIKE_%s | ชื่อส่วนตรงกับลายเซ็นแพ็คเกอร์ที่รู้จัก (เช่น UPX , VMProtect ) |
SECTION_%d_HIGH_ENTROPY | ส่วนมีข้อมูลบีบอัด |
WEIRD_%d_SECTION_NAME | ส่วนดูแปลกมาก |
ขับเคลื่อนโดย
PeNetLibrary
