Formato ejecutable PE
¿Qué es Formato ejecutable PE?
Formato ejecutable PEPortable Executable, el formato binario de Windows usado por archivos .exe, .dll, .sys y .ocx, derivado del antiguo formato de objetos COFF.
PE (Portable Executable) es el formato binario que Windows utiliza para ejecutables (.exe), bibliotecas dinamicas (.dll), drivers de kernel (.sys) y otros artefactos nativos. Un fichero PE empieza con un stub MS-DOS, seguido de la firma PE, la cabecera COFF, la cabecera opcional, la tabla de secciones y secciones como .text, .rdata, .data, .rsrc o .reloc. Tambien contiene Import y Export Address Tables, firmas Authenticode y metadatos para mitigaciones de Windows como ASLR, DEP, CFG y CET. Ingenieros inversos, productos EDR y cazadores de amenazas analizan PE para detectar empaquetadores, DLL sideloading, importaciones sospechosas, anomalias en la firma y patrones de inyeccion de codigo.
● Ejemplos
- 01
Usar pefile o CFF Explorer para inspeccionar imports y firmas Authenticode de un .exe sospechoso.
- 02
Un atacante que reemplaza una DLL benigna en la ruta de busqueda de una aplicacion para ejecutar DLL sideloading contra un PE firmado.
● Preguntas frecuentes
¿Qué es Formato ejecutable PE?
Portable Executable, el formato binario de Windows usado por archivos .exe, .dll, .sys y .ocx, derivado del antiguo formato de objetos COFF. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Formato ejecutable PE?
Portable Executable, el formato binario de Windows usado por archivos .exe, .dll, .sys y .ocx, derivado del antiguo formato de objetos COFF.
¿Cómo funciona Formato ejecutable PE?
PE (Portable Executable) es el formato binario que Windows utiliza para ejecutables (.exe), bibliotecas dinamicas (.dll), drivers de kernel (.sys) y otros artefactos nativos. Un fichero PE empieza con un stub MS-DOS, seguido de la firma PE, la cabecera COFF, la cabecera opcional, la tabla de secciones y secciones como .text, .rdata, .data, .rsrc o .reloc. Tambien contiene Import y Export Address Tables, firmas Authenticode y metadatos para mitigaciones de Windows como ASLR, DEP, CFG y CET. Ingenieros inversos, productos EDR y cazadores de amenazas analizan PE para detectar empaquetadores, DLL sideloading, importaciones sospechosas, anomalias en la firma y patrones de inyeccion de codigo.
¿Cómo defenderse de Formato ejecutable PE?
Las defensas contra Formato ejecutable PE combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Formato ejecutable PE?
Nombres alternativos comunes: Portable Executable, PE/COFF.
● Términos relacionados
- appsec№ 373
Formato binario ELF
Executable and Linkable Format, el contenedor binario estandar para ejecutables, objetos y bibliotecas compartidas en Linux, BSD y la mayoria de derivados de System V Unix.
- appsec№ 639
Mach-O
Mach-O es el formato nativo de ejecutables, objetos y bibliotecas compartidas que macOS, iOS, watchOS y tvOS usan para los binarios compilados con las herramientas de Apple.
- attacks№ 331
Secuestro de DLL
Ataque que abusa del orden de búsqueda de DLL en Windows para que un programa legítimo cargue una biblioteca controlada por el atacante en lugar de la legítima.
- forensics-ir№ 650
Análisis de malware
Estudio estructurado de una muestra maliciosa para comprender su funcionamiento, origen, indicadores de compromiso e impacto sobre los sistemas afectados.
- forensics-ir№ 926
Ingeniería inversa
Proceso de desensamblar y analizar software compilado, firmware o hardware para recuperar su diseño, comportamiento y funcionamiento interno.