黑莓方面宣佈推出一個新的開源工具“PE Tree”,旨在減少逆向工程惡意軟體所需的時間和精力。該公司表示,PE Tree 使得逆向工程師可以使用 pefile 和 PyQt5 在樹狀檢視中檢視可移植可執行(Portable Executable,PE)檔案,從而降低了從記憶體中轉儲和重建惡意軟體的門檻,同時提供了社群可以建立的開源 PE 檢視器程式碼庫。
PE Tree 還與 HexRays 的IDA Pro 反編譯器整合在一起,從而可以輕鬆導航 PE 結構,以及轉儲記憶體中的 PE 檔案並執行匯入重建, 在識別和阻止各種惡意軟體方面至關重要。
該工具採用 Python 開發的,並支援Windows、Linux 和 Mac 作業系統。它可以作為獨立應用程式或 IDAPython 外掛安裝和執行,從而使使用者可以檢查任何可執行的 Windows 檔案並檢視其組成。
圖 1 獨立應用程式
圖 2 IDAPython 外掛
使用 Ero Carrera 的 pefile 模組分析 PE 檔案,然後再對映到樹檢視中。在那裡,使用者可以檢視 headers 的摘要,包括 MZ header、DOS stub、Rich headers、資料目錄等。
此外,左側的“rainbow view”提供了 PE 檔案結構的高階概述,並傳達了每個區域的 offset/size/ratio。使用者可以單擊每個區域以跳至樹狀檢視,或者單擊滑鼠右鍵以儲存到檔案或導出到 CyberChef。
黑莓研究運營副總裁埃裡克·米拉姆(Eric Milam)稱:“隨著網路犯罪分子不斷髮展,網路安全社群需要在其武器庫中使用新工具來捍衛和保護組織和人員。現在市場上已有超過 10 億個惡意軟體,而且這個數字還在以每年 1 億個以上的數量持續增長。因此我們建立了此解決方案,以幫助網路安全社群進行這場鬥爭。”
更多詳細內容可檢視官方部落格:https://blogs.blackberry.com/en/2020/08/blackberry-open-source-pe-tree-tool-for-malware-reverse-engineers
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/117697/blackberry-open-source-pe-tree-tool
黑莓開源逆向工程工具 PE Tree,降低逆向複雜度已經有81次圍觀
