PE-Executable-Format
Was ist PE-Executable-Format?
PE-Executable-FormatPortable Executable, das Windows-Binarformat fur .exe-, .dll-, .sys- und .ocx-Dateien, abgeleitet vom alteren COFF-Objektformat.
PE (Portable Executable) ist das Binarformat, das Windows fur ausfuhrbare Dateien (.exe), dynamische Bibliotheken (.dll), Kernel-Treiber (.sys) und weitere native Artefakte verwendet. Eine PE-Datei beginnt mit einem MS-DOS-Stub, gefolgt von PE-Signatur, COFF-Header, optionalem Header, Section-Tabelle und Sektionen wie .text, .rdata, .data, .rsrc oder .reloc. Sie enthalt Import- und Export-Address-Tables, Authenticode-Signaturen und Metadaten fur Windows-Mitigations wie ASLR, DEP, CFG und CET. Reverse Engineers, EDR-Produkte und Threat Hunter analysieren PE-Strukturen, um Packer, DLL-Sideloading, verdachtige Imports, Signaturanomalien und Code-Injektionsmuster zu finden.
● Beispiele
- 01
Mit pefile oder CFF Explorer Imports und Authenticode-Signatur einer verdachtigen .exe untersuchen.
- 02
Ein Angreifer ersetzt eine harmlose DLL im Suchpfad der Anwendung, um DLL-Sideloading gegen eine signierte PE auszufuhren.
● Häufige Fragen
Was ist PE-Executable-Format?
Portable Executable, das Windows-Binarformat fur .exe-, .dll-, .sys- und .ocx-Dateien, abgeleitet vom alteren COFF-Objektformat. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet PE-Executable-Format?
Portable Executable, das Windows-Binarformat fur .exe-, .dll-, .sys- und .ocx-Dateien, abgeleitet vom alteren COFF-Objektformat.
Wie funktioniert PE-Executable-Format?
PE (Portable Executable) ist das Binarformat, das Windows fur ausfuhrbare Dateien (.exe), dynamische Bibliotheken (.dll), Kernel-Treiber (.sys) und weitere native Artefakte verwendet. Eine PE-Datei beginnt mit einem MS-DOS-Stub, gefolgt von PE-Signatur, COFF-Header, optionalem Header, Section-Tabelle und Sektionen wie .text, .rdata, .data, .rsrc oder .reloc. Sie enthalt Import- und Export-Address-Tables, Authenticode-Signaturen und Metadaten fur Windows-Mitigations wie ASLR, DEP, CFG und CET. Reverse Engineers, EDR-Produkte und Threat Hunter analysieren PE-Strukturen, um Packer, DLL-Sideloading, verdachtige Imports, Signaturanomalien und Code-Injektionsmuster zu finden.
Wie schützt man sich gegen PE-Executable-Format?
Schutzmaßnahmen gegen PE-Executable-Format kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für PE-Executable-Format?
Übliche alternative Bezeichnungen: Portable Executable, PE/COFF.
● Verwandte Begriffe
- appsec№ 373
ELF-Binarformat
Executable and Linkable Format, der Standard-Binarcontainer fur ausfuhrbare Dateien, Objektdateien und Shared Libraries auf Linux, BSD und den meisten System-V-Unix-Derivaten.
- appsec№ 639
Mach-O
Mach-O ist das native Format fur ausfuhrbare Dateien, Objektdateien und Shared Libraries auf macOS, iOS, watchOS und tvOS und wird von Apples Toolchain erzeugt.
- attacks№ 331
DLL-Hijacking
Angriff, der die DLL-Suchreihenfolge von Windows missbraucht, damit ein legitimes Programm eine vom Angreifer kontrollierte Bibliothek anstelle der vorgesehenen lädt.
- forensics-ir№ 650
Malware-Analyse
Strukturierte Untersuchung einer Schadsoftware-Probe, um Funktion, Herkunft, Indicators of Compromise und Auswirkungen auf betroffene Systeme zu verstehen.
- forensics-ir№ 926
Reverse Engineering
Das Disassemblieren und Analysieren kompilierter Software, Firmware oder Hardware, um Aufbau, Verhalten und Innenleben zu rekonstruieren.