Análisis de archivos PE (Portable Ejecutable) en busca de Malware.

Los archivos PE pueden contener otros archivos PE empaquetados, de forma que pueden existir archivos PE con malware empaquetados en archivos PE legítimos. Esto hace que un análisis con una herramienta que use una norma estática, no sea capaz de analizar la carga útil. Sucede con los antivirus, algunos archivos ejecutables empaquetados pueden evadir el archivo malicioso que se oculta dentro de ellos.

Esta técnica es detectable con Pev,  un conjunto de herramientas multiplataforma para trabajar con PE (Portable Ejecutable). Su principal objetivo es proporcionar herramientas con muchas funciones para analizar archivos PE y con funciones especificas para detectar y analizar los que tienen malware.

Entre sus características destaca:

  • Con base en la propia biblioteca PE, llamada libpe.
  • Apoyo a la PE32 y PE32+ archivos de 64 bits. 
  • Salida con formato de texto y CSV.
  • Incluye herramientas para convertir RVA desde el fichero offset y viceversa.

Las herramientas que forman Pev son las siguientes:

  • Pesec, para comprobar: características de seguridad de los archivos PE, certificados de extracto y más.
  • Readpe, para analizar: encabezados PE, secciones, las importaciones y exportaciones.
  • Pescan,  detectar las funciones de devolución de llamada TLS, modificación talón DOS, secciones sospechosas…
  • Pedis, desmontar una sección de archivo PE o función con soporte para la sintaxis de Intel y AT & T.
  • Pehash, calcular los hashes de archivos PE.
  • Pepack, detectar si un ejecutable está lleno o no. 
  • Pestr, buscar texto codificado Unicode y cadenas ASCII de forma simultánea en los archivos PE. 
  • Peres, mostrar y extraer los recursos de archivos PE.

Más información y descarga de Pev:
http://pev.sourceforge.net/

Completo manual de instalación y uso de Pev:
http://pev.sourceforge.net/doc/manual/en_us/

Deja un comentario