PE LiteScan
v1.1 (beta)
Pe-Litescan (或PELS )是一种简单的启发式分析仪,用于常见的PE纳药,专门针对封装和保护器的检测。专为Windows和Linux设计。
下载Windows/Linux X64
视窗
PE-LiteScan-windows.exe "file_to_check.exe"
Linux
./PE-LiteScan-linux "file_to_check.exe"
| 检测类型 | 描述 |
|---|---|
LAST_SECTION_ENTRYPOINT | 该入口点位于文件的最后一部分中。 |
NO_TEXT_SECTION | PE文件中缺少.text部分。 |
STRANGE_OVERLAY | 在文件的覆盖部分中找到的压缩数据。 |
HIGH_ENTROPY | 检测到高熵,表明可能的包装数据。 |
NET_ANTI_ILDASM | .NET二进制具有SuppressIldasmAttribute属性。 |
PUSHAL_AT_ENTRY | 检测到奇怪的入口点(例如,从PUSHAL说明开始)。 |
CUSTOM_DOS_STUB | 在PE文件中发现了不寻常的DOS存根。 |
IMPORT_TABLE_MISSING | PE文件中缺少导入表。 |
SECTIONS_LIKE_%s | 部分名称匹配已知包装器签名(例如, UPX , VMProtect )。 |
SECTION_%d_HIGH_ENTROPY | 部分包含压缩数据。 |
WEIRD_%d_SECTION_NAME | 部分看起来很奇怪。 |
由
PeNet图书馆提供动力。
