PE Tree:

Portable Executable Dosyalar için Açık Kaynak Tersine Mühendislik Aracı

Portable Executable (PE) / Taşınabilir Yürütülebilir dosya nedir?

Taşınabilir Yürütülebilir (PE) biçim, Windows işletim sistemlerinin 32 bit ve 64 bit sürümlerinde kullanılan yürütülebilir dosyalar, nesne kodu, DLL’ler vb. için bir dosya biçimidir.

.acm, .ax, .cpl, .drv, .efi, .mui, .ocx, .scr, .sys, .tsp gibi uzantıların yanı sıra .dll ve .exe uzantılarını da barındırır.

Kaynak ve detaylı bilgi için:

https://en.wikipedia.org/wiki/Portable_Executable

PE Tree Nedir?

BlackBerry Research and Intelligence ekibi tarafından geliştirilen zararlı yazılım tersine mühendislik aracı olan PE Tree, açık kaynak ve ücretsiz bir araçtır.

PE Tree, zararlı yazılım analistlerinin PE (Portable Executable / Taşınabilir Yürütülebilir) dosyaları pefile (PE dosyalarını ayrıştıran ve bunlarla çalışan çok platformlu bir Python modülü) ve grafik kullanıcı arabirimleri oluşturmak için kullanılabilecek bir modül olan PyQt5 kullanarak ağaç görünümünde görüntülemelerine olanak tanır.

PE Tree Özellikleri Nelerdir?

– Windows, Linux ve Mac işletim sistemleri tarafından desteklenmektedir.

– Bağımsız bir uygulama veya IDAPython eklentisi olarak kurulabilir ve çalıştırılabilir.

– PE yapıları, boyutu ve dosya konumu hakkında ileri seviye genel bilgilendirme sağlar. 

– PE örneklerinin hızlı görsel karşılaştırmasını sunar 

– Aşağıdaki PE başlıklarını ağaç görünümünde görüntüler:    

  • MZ başlıklar   
  • DOS stub   
  • Zengin Başlıklar   
  • NT/Dosya/Opsiyonel başlıklar   
  • Veri dizinleri   
  • Bölümler (Sections)   
  • İçe Aktarılanlar (Imports)  
  • Dışa Aktarılanlar (Exports)   
  • Hata ayıklama bilgileri  
  • Yükleme yapılandırması   
  • TLS   
  • Kaynaklar   
  • Versiyon bilgileri   
  • Sertifikalar   
  • Overlay 

– Aşağıdaki kaynaklardan veri ayıklar ve kaydeder:

  • Dos stub
  • Bölümler (Sections)
  • Kaynaklar
  • Sertifikalar
  • Overlay

– Aşağıdakiler için VirusTotal araması yapar:

  • Dosya hashleri
  • PDB yolu
  • Zaman damgaları
  • Bölüm hash veya ismi
  • İçe aktarılan hash veya ismi
  • Dışa Aktarılan ismi
  • Kaynak hash bilgileri
  • Sertifika seri numarası

– Bağımsız uygulama ile hex dump data alınması.

– IDAPython eklentisi ile PE dosya yapılarında kolay gezinme.

Ve daha fazlası…

PE Tree için Sistem Gereksinimleri

Python 3+ yüklü olmalıdır.

PE Tree Nasıl Yüklenir?

Windows için komut satırına aşağıdaki komutlar girilmelidir:

> virtualenv env

> env\Scripts\activate

> pip install –upgrade pip

> pip install git+https://github.com/blackberry/pe_tree.git

 

Mac ve Linux için komut satırına aşağıdaki komutlar girilmelidir:

$ python3 -m venv env

$ source ./env/bin/activate

$ pip install –upgrade pip

$ pip install git+https://github.com/blackberry/pe_tree.git

PE Tree Nasıl Kullanılır?

PE Tree’yi çalıştırmak için aşağıdaki komut kullanılır:

$ pe-tree

PE Tree çalıştırıldıktan sonra istenen dosya/klasör belirtilir:

$ pe-tree <path>

 

(Kaynak: https://github.com/blackberry/pe_tree )

Başa dön