Формат PE
Что такое Формат PE?
Формат PEPortable Executable — формат двоичных файлов Windows для .exe, .dll, .sys и .ocx, происходящий от более старого формата объектных файлов COFF.
PE (Portable Executable) — двоичный формат, используемый Windows для исполняемых файлов (.exe), динамических библиотек (.dll), драйверов ядра (.sys) и других нативных артефактов. Файл PE начинается с MS-DOS-стаба, далее следует сигнатура PE, COFF-заголовок, optional header, таблица секций и секции .text, .rdata, .data, .rsrc, .reloc. В нём также находятся Import и Export Address Table, подпись Authenticode и метаданные для мер защиты Windows: ASLR, DEP, CFG, CET. Реверс-инженеры, EDR-решения и охотники за угрозами разбирают структуру PE, чтобы выявлять упаковщики, DLL sideloading, подозрительные импорты, аномалии подписи и шаблоны инъекций кода.
● Примеры
- 01
Использование pefile или CFF Explorer для анализа импортов и подписи Authenticode подозрительного .exe.
- 02
Злоумышленник подменяет безобидную DLL в пути поиска приложения, чтобы выполнить DLL sideloading против подписанного PE.
● Частые вопросы
Что такое Формат PE?
Portable Executable — формат двоичных файлов Windows для .exe, .dll, .sys и .ocx, происходящий от более старого формата объектных файлов COFF. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Формат PE?
Portable Executable — формат двоичных файлов Windows для .exe, .dll, .sys и .ocx, происходящий от более старого формата объектных файлов COFF.
Как защититься от Формат PE?
Защита от Формат PE обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Формат PE?
Распространённые альтернативные названия: Portable Executable, PE/COFF.