Format executable PE
Qu'est-ce que Format executable PE ?
Format executable PEPortable Executable, le format binaire Windows utilise pour les fichiers .exe, .dll, .sys et .ocx, derive de l'ancien format objet COFF.
PE (Portable Executable) est le format binaire utilise par Windows pour les executables (.exe), bibliotheques dynamiques (.dll), pilotes noyau (.sys) et autres artefacts natifs. Un fichier PE commence par un stub MS-DOS, suivi de la signature PE, de l'en-tete COFF, de l'en-tete optionnel, de la table des sections et de sections comme .text, .rdata, .data, .rsrc ou .reloc. Il transporte aussi des Import et Export Address Tables, des signatures Authenticode et des metadonnees utilisees par les mitigations Windows telles qu'ASLR, DEP, CFG et CET. Ingenieurs inverses, produits EDR et chasseurs de menaces analysent les structures PE pour detecter packers, DLL sideloading, imports suspects, anomalies de signature et schemas d'injection de code.
● Exemples
- 01
Utiliser pefile ou CFF Explorer pour inspecter les imports et la signature Authenticode d'un .exe suspect.
- 02
Un attaquant remplacant une DLL legitime dans le chemin de recherche de l'application pour realiser un DLL sideloading contre un PE signe.
● Questions fréquentes
Qu'est-ce que Format executable PE ?
Portable Executable, le format binaire Windows utilise pour les fichiers .exe, .dll, .sys et .ocx, derive de l'ancien format objet COFF. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Format executable PE ?
Portable Executable, le format binaire Windows utilise pour les fichiers .exe, .dll, .sys et .ocx, derive de l'ancien format objet COFF.
Comment fonctionne Format executable PE ?
PE (Portable Executable) est le format binaire utilise par Windows pour les executables (.exe), bibliotheques dynamiques (.dll), pilotes noyau (.sys) et autres artefacts natifs. Un fichier PE commence par un stub MS-DOS, suivi de la signature PE, de l'en-tete COFF, de l'en-tete optionnel, de la table des sections et de sections comme .text, .rdata, .data, .rsrc ou .reloc. Il transporte aussi des Import et Export Address Tables, des signatures Authenticode et des metadonnees utilisees par les mitigations Windows telles qu'ASLR, DEP, CFG et CET. Ingenieurs inverses, produits EDR et chasseurs de menaces analysent les structures PE pour detecter packers, DLL sideloading, imports suspects, anomalies de signature et schemas d'injection de code.
Comment se défendre contre Format executable PE ?
Les défenses contre Format executable PE combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Format executable PE ?
Noms alternatifs courants : Portable Executable, PE/COFF.
● Termes liés
- appsec№ 373
Format binaire ELF
Executable and Linkable Format, le conteneur binaire standard pour les executables, fichiers objets et bibliotheques partagees sur Linux, BSD et la plupart des derives de System V Unix.
- appsec№ 639
Mach-O
Mach-O est le format natif d'executables, d'objets et de bibliotheques partagees utilise par macOS, iOS, watchOS et tvOS pour les binaires produits par la chaine d'outils Apple.
- attacks№ 331
Détournement de DLL
Attaque qui abuse de l'ordre de recherche des DLL de Windows pour qu'un programme légitime charge une bibliothèque contrôlée par l'attaquant au lieu de la bibliothèque attendue.
- forensics-ir№ 650
Analyse de maliciel
Étude structurée d'un échantillon malveillant pour comprendre son fonctionnement, son origine, ses indicateurs de compromission et son impact sur les systèmes touchés.
- forensics-ir№ 926
Rétro-ingénierie
Processus de désassemblage et d'analyse d'un logiciel compilé, d'un firmware ou d'un matériel pour reconstituer sa conception, son comportement et son fonctionnement interne.