Formato ejecutable PE
¿Qué es Formato ejecutable PE?
Formato ejecutable PEPortable Executable, el formato binario de Windows usado por archivos .exe, .dll, .sys y .ocx, derivado del antiguo formato de objetos COFF.
PE (Portable Executable) es el formato binario que Windows utiliza para ejecutables (.exe), bibliotecas dinamicas (.dll), drivers de kernel (.sys) y otros artefactos nativos. Un fichero PE empieza con un stub MS-DOS, seguido de la firma PE, la cabecera COFF, la cabecera opcional, la tabla de secciones y secciones como .text, .rdata, .data, .rsrc o .reloc. Tambien contiene Import y Export Address Tables, firmas Authenticode y metadatos para mitigaciones de Windows como ASLR, DEP, CFG y CET. Ingenieros inversos, productos EDR y cazadores de amenazas analizan PE para detectar empaquetadores, DLL sideloading, importaciones sospechosas, anomalias en la firma y patrones de inyeccion de codigo.
● Ejemplos
- 01
Usar pefile o CFF Explorer para inspeccionar imports y firmas Authenticode de un .exe sospechoso.
- 02
Un atacante que reemplaza una DLL benigna en la ruta de busqueda de una aplicacion para ejecutar DLL sideloading contra un PE firmado.
● Preguntas frecuentes
¿Qué es Formato ejecutable PE?
Portable Executable, el formato binario de Windows usado por archivos .exe, .dll, .sys y .ocx, derivado del antiguo formato de objetos COFF. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Formato ejecutable PE?
Portable Executable, el formato binario de Windows usado por archivos .exe, .dll, .sys y .ocx, derivado del antiguo formato de objetos COFF.
¿Cómo defenderse de Formato ejecutable PE?
Las defensas contra Formato ejecutable PE combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Formato ejecutable PE?
Nombres alternativos comunes: Portable Executable, PE/COFF.