BlackHat大会上,BlackBerry宣布开源逆向工具PE Tree
在8月3日举办的BlackHat大会上,BlackBerry宣布开源PE逆向工具——PE Tree。PE Tree是由BlackBerry 研究团队研发的使用pefile和PyQt5 来以树形查看PE文件的逆向工具。因为面向的是逆向工程师和社区,PE Tree还融合了HexRays IDA Pro反编译器的功能,可以查看PE结构、复制内存中的PE文件并执行导入重构。
概览
PE Tree是用python开发的,支持Windows、Linux和macOS 操作系统。奇热可以以独立应用安装和运行,也可以以IDAPython插件的形式安装和运行。
图 1.标准应用
图 2. IDAPython插件
PE文件在映射为树形之前会用Ero Carrera的 pefile 模块进行分析,得到如下header信息:
· MZ header
· DOS stub
· Rich headers
· NT/File/Optional headers
· Data directories
· Sections
· Imports
· Exports
· Debug information
· Load config
· TLS
· Resources
· Version information
· Certificates
· Overlay
图 3. Header信息
如果pefile在分析过程中检测到任何问题,就会显示告警信息:
图 4. Pefile 告警
点击链接可以执行VirusTotal 搜索,包括:
· 文件哈希;
· PDB路径;
· 时间戳;
· Section hash/name;
· Import hash/name;
· Export name;
· Resource哈希;
· 证书序列号。
注:IMAGE_DIRECTORY_ENTRY_DEBUG和IMAGE_EXPORT_DESCRIPTOR时间戳一般是由编译器设置的,所以可以用于进一步的分析。
此外,PE文件的特定部分可以被爆出和导出到CyberChef,用于下一步处理,比如:
· DOS stub
· Sections
· Resources
· Certificates
· Overlay
图 5. 保存和导出证书
左侧的 “rainbow view”提供了PE文件结构的高层概览以及每个区域的offset/size/ratio。比如,下面就是含有多个资源的PE文件。
图 6. Rainbow图
点击每个区域可以查看树视图,右击可以保存和导出到CyberChef。
Rainbow图在处理PE文件目录时是非常有用的,因为可以很容易地指出类似的文件组成,并确定样本之间可能的关联。
IDAPython
HeyRays的 IDA Pro融合是通过IDAPython插件来实现的,它可以实现更高级的功能,比如从IDA数据库和重构导入中找到和复制PE文件:
图 7. 搜索PE文件的IDA数据库
在复制内存中的PE文件时,PE Tree会在IDB中添加文件结构的基本评论,并对IAT函数重新命名偏移量,使得很容易就可以查看和分析注入和未打包的PE。
注:PE Tree可以以一种与OllyDumpEx/ImpRec类似的方法来复制PE文件和重构导入,比如,解压MPRESS:
图 8. 执行IDB检索
图 9. 复制后,未打包的PE文件中含有新的导入地址表
如果选择Rebuild imports,PE Tree就会对所有可能的IAT引用搜索IDA disassembly,并构造新的IAT、IDT和hint name表。如果选定“Use existing imports”, PE Tree就会通过DIRECTORY_ENTRY_IMPORT 基于IAT来重构导入。
未来发展
PE Tree目前仍在开发中,未来将会添加更多的新特征。下一版本将关注rekall 支持,提供从内存复制或运行系统(live)中查看和复制进程的能力。
图 10. 用Rekall!复制活动进程内容
PE Tree源码和使用方法参见BlackBerry GitHub:https://github.com/blackberry/pe_tree
BlackHat大会上,BlackBerry宣布开源逆向工具PE Tree相关推荐
- usb3.0导入工具pe_BlackHat大会上,BlackBerry宣布开源逆向工具PE Tree
在8月3日举办的BlackHat大会上,BlackBerry宣布开源PE逆向工具--PE Tree.PE Tree是由BlackBerry 研究团队研发的使用pefile和PyQt5 来以树形查看PE ...
- NSA开源逆向工具Ghidra入门使用教程
NSA开源逆向工具Ghidra入门使用教程 安全运营 奇安信威胁情报中心 2019-03-07 Ghidra具有反编译功能,查看.定位反编译后的代码相较于IDA有优势.不过在使用过程中发现其处理某些混 ...
- Black Hat | PE Tree:BlackBerry 发布PE文件开源逆向工具
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 BlackBerry 在今年举办的美国黑帽大会上为网络安全社区发布了一款新工具:PE Tree. PE Tree 是一款适用于 Lin ...
- 【BlackHat】黑帽大会上值得关注的安全工具
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 从2017年开始,黑帽安全大会就设立"武器"频道,供网络安全社区介绍和发布安全工具.本文选取了一些最有意思的工具. C ...
- 云栖大会上宣布即将开源的手淘Atlas什么来头?
在刚刚过去的云栖大会上,手淘宣布其移动容器化框架Atlas将于2017年年初开源,对这个框架,在过去团队对外部做过一些分享,外界也一直对其十分关注,到现在它终于即将开源了. 本文将介绍Atlas的设计 ...
- 本次云栖大会上,阿里开源了哪些顶级项目?
近年来,阿里巴巴在技术领域投入不断加强,拥抱开源也由来已久,积极加入了包括自由软件基金会.Apache软件基金会和Linux基金会在内的多家国际知名开源组织.目前,阿里巴巴开源和维护的开源项目超过15 ...
- 盘点互联网巨头奉献的十大开源安全工具
Facebook等大型互联网公司推动的服务器与数据中心.大数据工具的开源化项目类似,当大型互联网公司们在超大规模基础设施运营方面面临的挑战 超出技术厂商的能力时,这些巨头就选择反客为主,成为创新技术的 ...
- 华为开发者大会上,鸿蒙问世、方舟编译器开源、还有 EMUI 10;壕置100万美元,苹果推出漏洞攻击报告赏金计划……...
关注并标星星CSDN云计算 极客头条:速递.最新.绝对有料.这里有企业新动.这里有业界要闻,打起十二分精神,紧跟fashion你可以的! 每周三次,打卡即read 更快.更全了解泛云圈精彩news g ...
- 开源 协作工具_城镇如何使用开源工具进行协作和管理大文件
开源 协作工具 像许多组织一样,政府和乡镇也面临着涉及协作和大文件共享的挑战. 在当今云被广泛采用的时代,公共机构可能会倾向于将公共云存储视为一种简单,低成本的数据管理解决方案. 但是,人们仍然非常关 ...
最新文章
- intellij idea 和 myeclipse 转换
- [WebService]之代码优先方法与契约优先方法
- matlab训练集测试集划分
- Android system server之WindowManagerService按键消息传播流程
- mysql dba系统学习(3)mysql的启动停止
- @transaction使自定义注解失效_【完美】SpringBoot中使用注解来实现 Redis 分布式锁...
- Android 实现九宫格、点击图片放大全屏浏览等
- pat 乙级 1022 D进制的A+B(C++)
- POI导出Execl文件,使JAVA虚拟机OOM
- HTML section 标签
- .NET配置文件的原因、位置和方式
- 正则表达式re.S的用法
- 2020-5-9 开始阅读深入理解java虚拟机
- css:电子数字显示
- ENSP下载还有其他资料地址
- 常用的C语言编程工具
- CF417D--- Cunning Gena(排序+状压dp)
- 苹果app退款_苹果上最流氓的功能,终于被彻底关掉,还退款208元
- 冯·诺依曼体系结构总结
- 拉肚子差评回复模板_外卖差评说吃了拉肚子商家怎么处理?一单5分钱的食品保险美团帮你处理!...