Формат PE
Что такое Формат PE?
Формат PEPortable Executable — формат двоичных файлов Windows для .exe, .dll, .sys и .ocx, происходящий от более старого формата объектных файлов COFF.
PE (Portable Executable) — двоичный формат, используемый Windows для исполняемых файлов (.exe), динамических библиотек (.dll), драйверов ядра (.sys) и других нативных артефактов. Файл PE начинается с MS-DOS-стаба, далее следует сигнатура PE, COFF-заголовок, optional header, таблица секций и секции .text, .rdata, .data, .rsrc, .reloc. В нём также находятся Import и Export Address Table, подпись Authenticode и метаданные для мер защиты Windows: ASLR, DEP, CFG, CET. Реверс-инженеры, EDR-решения и охотники за угрозами разбирают структуру PE, чтобы выявлять упаковщики, DLL sideloading, подозрительные импорты, аномалии подписи и шаблоны инъекций кода.
● Примеры
- 01
Использование pefile или CFF Explorer для анализа импортов и подписи Authenticode подозрительного .exe.
- 02
Злоумышленник подменяет безобидную DLL в пути поиска приложения, чтобы выполнить DLL sideloading против подписанного PE.
● Частые вопросы
Что такое Формат PE?
Portable Executable — формат двоичных файлов Windows для .exe, .dll, .sys и .ocx, происходящий от более старого формата объектных файлов COFF. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Формат PE?
Portable Executable — формат двоичных файлов Windows для .exe, .dll, .sys и .ocx, происходящий от более старого формата объектных файлов COFF.
Как работает Формат PE?
PE (Portable Executable) — двоичный формат, используемый Windows для исполняемых файлов (.exe), динамических библиотек (.dll), драйверов ядра (.sys) и других нативных артефактов. Файл PE начинается с MS-DOS-стаба, далее следует сигнатура PE, COFF-заголовок, optional header, таблица секций и секции .text, .rdata, .data, .rsrc, .reloc. В нём также находятся Import и Export Address Table, подпись Authenticode и метаданные для мер защиты Windows: ASLR, DEP, CFG, CET. Реверс-инженеры, EDR-решения и охотники за угрозами разбирают структуру PE, чтобы выявлять упаковщики, DLL sideloading, подозрительные импорты, аномалии подписи и шаблоны инъекций кода.
Как защититься от Формат PE?
Защита от Формат PE обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Формат PE?
Распространённые альтернативные названия: Portable Executable, PE/COFF.
● Связанные термины
- appsec№ 373
Формат ELF
Executable and Linkable Format — стандартный бинарный контейнер для исполняемых файлов, объектных модулей и разделяемых библиотек в Linux, BSD и большинстве систем семейства System V Unix.
- appsec№ 639
Mach-O
Mach-O — это родной формат исполняемых файлов, объектных модулей и разделяемых библиотек macOS, iOS, watchOS и tvOS для бинарников, собранных в инструментарии Apple.
- attacks№ 331
Перехват DLL
Атака, использующая порядок поиска DLL в Windows, чтобы легитимная программа загрузила подконтрольную злоумышленнику библиотеку вместо нужной.
- forensics-ir№ 650
Анализ вредоносного ПО
Структурированное исследование вредоносного образца для понимания его функциональности, происхождения, индикаторов компрометации и воздействия на затронутые системы.
- forensics-ir№ 926
Обратная разработка
Процесс дизассемблирования и анализа скомпилированного ПО, прошивок или аппаратного обеспечения с целью восстановления их устройства, поведения и внутренней работы.