pe es una herramienta para analizar archivos PE (Portable Executable) utilizando Python 3. Se puede analizar cualquier archivo EXE en busca de metadatos.
El formato Portable Executable (PE) es un formato de archivo para archivos ejecutables, de código objeto, bibliotecas de enlace dinámico (DLL), y otros usados en versiones de 32 bit y 64 bit del sistema operativo Microsoft Windows. [Wikipedia]
Características actuales:
- Mostrar información sobre el archivo (importación, exportaciones, recursos)
- Buscar información interesante en el archivo (recursos anormales, peid …)
- Volcar secciones o recursos
- Comprobar tamaño
- Buscar una cadena en el archivo
Tabla de Contenido
1. Instalación de PE
Para ello ejecutamos los siguientes comandos:
git clone git@github.com:Te-k/pe.git
cd pe
pip install .
PE funciona con complementos, como pe PLUGIN FILE
Los complementos actuales incluyen:
info
: extraer información del archivo PEdump
: volcar recurso o sección del archivosearch
: busca una cadena en un archivo PEcheckize
: verificar el tamaño del archivo PEcheck
: buscar cosas raras en el archivo PEshell
: iniciar ipython shell para analizar el archivo PE
2. Cómo usar PE + Ejemplos
Comenzamos con el comando de ayuda para ver los modificadores disponibles:
pe -h
Como ejemplo voy analizar el archivo ejecutable de Internet Download Manager.
Ejemplos:
- Comprobar con
checkize
un archivo EXE:
pe checkize archiv.exe
- Extraer información de un archivo ejecutable (.EXE)
https://github.com/Te-k/pecli