PE-Executable-Format
Was ist PE-Executable-Format?
PE-Executable-FormatPortable Executable, das Windows-Binarformat fur .exe-, .dll-, .sys- und .ocx-Dateien, abgeleitet vom alteren COFF-Objektformat.
PE (Portable Executable) ist das Binarformat, das Windows fur ausfuhrbare Dateien (.exe), dynamische Bibliotheken (.dll), Kernel-Treiber (.sys) und weitere native Artefakte verwendet. Eine PE-Datei beginnt mit einem MS-DOS-Stub, gefolgt von PE-Signatur, COFF-Header, optionalem Header, Section-Tabelle und Sektionen wie .text, .rdata, .data, .rsrc oder .reloc. Sie enthalt Import- und Export-Address-Tables, Authenticode-Signaturen und Metadaten fur Windows-Mitigations wie ASLR, DEP, CFG und CET. Reverse Engineers, EDR-Produkte und Threat Hunter analysieren PE-Strukturen, um Packer, DLL-Sideloading, verdachtige Imports, Signaturanomalien und Code-Injektionsmuster zu finden.
● Beispiele
- 01
Mit pefile oder CFF Explorer Imports und Authenticode-Signatur einer verdachtigen .exe untersuchen.
- 02
Ein Angreifer ersetzt eine harmlose DLL im Suchpfad der Anwendung, um DLL-Sideloading gegen eine signierte PE auszufuhren.
● Häufige Fragen
Was ist PE-Executable-Format?
Portable Executable, das Windows-Binarformat fur .exe-, .dll-, .sys- und .ocx-Dateien, abgeleitet vom alteren COFF-Objektformat. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet PE-Executable-Format?
Portable Executable, das Windows-Binarformat fur .exe-, .dll-, .sys- und .ocx-Dateien, abgeleitet vom alteren COFF-Objektformat.
Wie schützt man sich gegen PE-Executable-Format?
Schutzmaßnahmen gegen PE-Executable-Format kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für PE-Executable-Format?
Übliche alternative Bezeichnungen: Portable Executable, PE/COFF.