PE LiteScan
v1.1 (beta)
Pe-Litescan (或PELS )是一種簡單的啟發式分析儀,用於常見的PE納藥,專門針對封裝和保護器的檢測。專為Windows和Linux設計。
下載Windows/Linux X64
視窗
PE-LiteScan-windows.exe "file_to_check.exe"
Linux
./PE-LiteScan-linux "file_to_check.exe"
| 檢測類型 | 描述 |
|---|---|
LAST_SECTION_ENTRYPOINT | 該入口點位於文件的最後一部分中。 |
NO_TEXT_SECTION | PE文件中缺少.text部分。 |
STRANGE_OVERLAY | 在文件的覆蓋部分中找到的壓縮數據。 |
HIGH_ENTROPY | 檢測到高熵,表明可能的包裝數據。 |
NET_ANTI_ILDASM | .NET二進制具有SuppressIldasmAttribute屬性。 |
PUSHAL_AT_ENTRY | 檢測到奇怪的入口點(例如,從PUSHAL說明開始)。 |
CUSTOM_DOS_STUB | 在PE文件中發現了不尋常的DOS存根。 |
IMPORT_TABLE_MISSING | PE文件中缺少導入表。 |
SECTIONS_LIKE_%s | 部分名稱匹配已知包裝器簽名(例如, UPX , VMProtect )。 |
SECTION_%d_HIGH_ENTROPY | 部分包含壓縮數據。 |
WEIRD_%d_SECTION_NAME | 部分看起來很奇怪。 |
由
PeNet圖書館提供動力。
