Tenho grande satisfação em informar que a versão 0.70 do pev, o kit de ferramentas para análise de binários PE (Portable Executable, do Windows) está no ar!
Esta versão é especial por vários motivos, dentre eles:
Foi produzida com muita colaboração. O projeto cresceu bastante desde o último release.
De novo trabalhando no Natal, foi terminada dia 26 de dezembro, assim como a versão 0.20.
Marca o início de uma nova jornada da libpe, onde transferiremos a inteligência dos binários para ela.
Agora as principais novidades!
- Novo site disponível em pev.sf.net
- Manual do usuário disponível no site!
- Vídeo de introdução também disponível no novo site!
- Nova lista de e-mails para usuários do pev
- libpe muito mais rápida (usa mmap() agora ao invés de fread() e afins)
- pehash agora calcula hashes de partes do PE e ainda conta com novos algoritmos
- Nova ferramenta, chamada peres, para listar e extrair resources do PE
- Novas regras de detecção de bankers e tricks de FPU no pescan
- O pesec agora visualiza e extrai certificados de binários assinados digitalmente
Faça download do do projeto e ajude a divulgar: http://sourceforge.net/projects/pev/
Fonte:
http://www.mentebinaria.com.br/blog#13
Para aqueles que não conhecem, segue uma breve descrição da ferramenta.
PEV é um kit de ferramentas multiplataforma para trabalhar com PE (Portable Executable) binários. Seu principal objetivo é fornecer ferramentas ricas em recursos para analisar binários, especialmente os suspeitos.
Características
- Com base na biblioteca próprio PE, chamado libpe
- Suporte para PE32 e arquivos (64-bit) PE32 +
- Saída formatada em texto e CSV (outros formatos em desenvolvimento)
- pesec: confira os recursos de segurança em arquivos PE, certificados de extrato e muito mais
- readpe: analisar os cabeçalhos PE, seções, importações e exportações
- PESCAN: detectar as funções de retorno de chamada TLS, DOS modificação toco, seções suspeitos e mais
- pedis: desmontar uma seção do arquivo PE ou função com suporte para Intel e AT & T sintaxe
- Incluir ferramentas para converter RVA de arquivo offset e vice-versa
- pehash: calcular hashes de arquivo PE
- pepack: detectar se um executável é embalado ou não
- pestr: procurar codificado Unicode e seqüências ASCII simultaneamente em arquivos PE
- recursos de arquivo PE show e extract: peres
Assista o vídeo de demonstração da ferramenta:
http://pev.sourceforge.net/videos/intro-pev/intro-pev_player.html