PE 実行ファイル形式
PE 実行ファイル形式 とは何ですか?
PE 実行ファイル形式Portable Executable は Windows で .exe・.dll・.sys・.ocx などに使われるバイナリ形式で、旧来の COFF オブジェクト形式から派生している。
PE(Portable Executable)は、Windows が実行ファイル(.exe)、動的ライブラリ(.dll)、カーネルドライバ(.sys)などのネイティブバイナリに用いる形式です。PE ファイルは MS-DOS スタブ、PE シグネチャ、COFF ヘッダー、Optional Header、セクションテーブル、そして .text・.rdata・.data・.rsrc・.reloc などのセクションで構成されます。Import/Export Address Table、Authenticode 署名、ASLR・DEP・CFG・CET などの緩和策で利用されるメタデータも含みます。リバースエンジニアや EDR、脅威ハンターは PE 構造を解析してパッカー、DLL サイドローディング、疑わしいインポート、署名異常、コードインジェクションを検出します。
● 例
- 01
pefile や CFF Explorer で不審な .exe のインポートと Authenticode 署名を調べる。
- 02
アプリケーションの検索パス上の正規 DLL を置き換え、署名済み PE に対して DLL サイドローディングを行う攻撃。
● よくある質問
PE 実行ファイル形式 とは何ですか?
Portable Executable は Windows で .exe・.dll・.sys・.ocx などに使われるバイナリ形式で、旧来の COFF オブジェクト形式から派生している。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
PE 実行ファイル形式 とはどういう意味ですか?
Portable Executable は Windows で .exe・.dll・.sys・.ocx などに使われるバイナリ形式で、旧来の COFF オブジェクト形式から派生している。
PE 実行ファイル形式 はどのように機能しますか?
PE(Portable Executable)は、Windows が実行ファイル(.exe)、動的ライブラリ(.dll)、カーネルドライバ(.sys)などのネイティブバイナリに用いる形式です。PE ファイルは MS-DOS スタブ、PE シグネチャ、COFF ヘッダー、Optional Header、セクションテーブル、そして .text・.rdata・.data・.rsrc・.reloc などのセクションで構成されます。Import/Export Address Table、Authenticode 署名、ASLR・DEP・CFG・CET などの緩和策で利用されるメタデータも含みます。リバースエンジニアや EDR、脅威ハンターは PE 構造を解析してパッカー、DLL サイドローディング、疑わしいインポート、署名異常、コードインジェクションを検出します。
PE 実行ファイル形式 からどのように防御しますか?
PE 実行ファイル形式 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
PE 実行ファイル形式 の別名は何ですか?
一般的な別名: Portable Executable, PE/COFF。
● 関連用語
- appsec№ 373
ELF バイナリ形式
Linux・BSD など System V Unix 系で標準的に用いられる実行ファイル・オブジェクト・共有ライブラリのバイナリ形式 Executable and Linkable Format。
- appsec№ 639
Mach-O
Mach-O は macOS・iOS・watchOS・tvOS が使用する実行ファイル、オブジェクト、共有ライブラリのネイティブ形式で、Apple のツールチェインが生成する。
- attacks№ 331
DLL ハイジャック
Windows の DLL 検索順序を悪用し、正規プログラムに本来とは異なる攻撃者制御のライブラリを読み込ませる攻撃。
- forensics-ir№ 650
マルウェア解析
悪性検体を構造的に調査し、機能・出所・侵害指標・影響を把握するフォレンジック作業。
- forensics-ir№ 926
リバースエンジニアリング
コンパイル済みのソフトウェア、ファームウェア、ハードウェアを逆アセンブル・解析し、その設計、挙動、内部動作を復元する作業。