Formato executavel PE
O que é Formato executavel PE?
Formato executavel PEPortable Executable, o formato binario do Windows usado por ficheiros .exe, .dll, .sys e .ocx, derivado do antigo formato de objetos COFF.
PE (Portable Executable) e o formato binario que o Windows usa para executaveis (.exe), bibliotecas dinamicas (.dll), drivers de kernel (.sys) e outros artefactos nativos. Um ficheiro PE comeca com um stub MS-DOS, seguido pela assinatura PE, cabecalho COFF, cabecalho opcional, tabela de secoes e secoes como .text, .rdata, .data, .rsrc ou .reloc. Inclui tambem Import e Export Address Tables, assinaturas Authenticode e metadados usados por mitigacoes do Windows como ASLR, DEP, CFG e CET. Engenheiros inversos, EDRs e cacadores de ameacas analisam estruturas PE para detetar packers, DLL sideloading, importacoes suspeitas, anomalias de assinatura e padroes de injecao de codigo.
● Exemplos
- 01
Usar pefile ou CFF Explorer para inspecionar imports e assinatura Authenticode de um .exe suspeito.
- 02
Atacante a substituir uma DLL legitima no caminho de procura da aplicacao para realizar DLL sideloading contra um PE assinado.
● Perguntas frequentes
O que é Formato executavel PE?
Portable Executable, o formato binario do Windows usado por ficheiros .exe, .dll, .sys e .ocx, derivado do antigo formato de objetos COFF. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Formato executavel PE?
Portable Executable, o formato binario do Windows usado por ficheiros .exe, .dll, .sys e .ocx, derivado do antigo formato de objetos COFF.
Como funciona Formato executavel PE?
PE (Portable Executable) e o formato binario que o Windows usa para executaveis (.exe), bibliotecas dinamicas (.dll), drivers de kernel (.sys) e outros artefactos nativos. Um ficheiro PE comeca com um stub MS-DOS, seguido pela assinatura PE, cabecalho COFF, cabecalho opcional, tabela de secoes e secoes como .text, .rdata, .data, .rsrc ou .reloc. Inclui tambem Import e Export Address Tables, assinaturas Authenticode e metadados usados por mitigacoes do Windows como ASLR, DEP, CFG e CET. Engenheiros inversos, EDRs e cacadores de ameacas analisam estruturas PE para detetar packers, DLL sideloading, importacoes suspeitas, anomalias de assinatura e padroes de injecao de codigo.
Como se defender contra Formato executavel PE?
As defesas contra Formato executavel PE costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Formato executavel PE?
Nomes alternativos comuns: Portable Executable, PE/COFF.
● Termos relacionados
- appsec№ 373
Formato binario ELF
Executable and Linkable Format, o contentor binario padrao para executaveis, ficheiros objeto e bibliotecas partilhadas em Linux, BSD e na maioria dos derivados de System V Unix.
- appsec№ 639
Mach-O
Mach-O e o formato nativo de executaveis, objetos e bibliotecas partilhadas usado por macOS, iOS, watchOS e tvOS para binarios produzidos pela toolchain da Apple.
- attacks№ 331
Sequestro de DLL
Ataque que abusa da ordem de busca de DLL no Windows para fazer um programa legítimo carregar uma biblioteca controlada pelo atacante em vez da pretendida.
- forensics-ir№ 650
Análise de malware
Estudo estruturado de uma amostra maliciosa para compreender o seu funcionamento, origem, indicadores de comprometimento e impacto nos sistemas afetados.
- forensics-ir№ 926
Engenharia inversa
Processo de desmontar e analisar software compilado, firmware ou hardware para reconstruir o seu desenho, comportamento e funcionamento interno.