PE 可执行文件格式
PE 可执行文件格式 是什么?
PE 可执行文件格式Portable Executable,即 Windows 用于 .exe、.dll、.sys、.ocx 等文件的二进制格式,源自较旧的 COFF 对象格式。
PE(Portable Executable)是 Windows 使用的二进制格式,适用于可执行文件(.exe)、动态库(.dll)、内核驱动(.sys)等原生二进制。PE 文件以 MS-DOS stub 开始,随后是 PE 签名、COFF 头、可选头、节表和 .text、.rdata、.data、.rsrc、.reloc 等节。PE 还包含 Import 与 Export Address Table、Authenticode 签名以及 ASLR、DEP、CFG、CET 等 Windows 缓解措施使用的元数据。逆向工程师、EDR 产品和威胁猎人通过解析 PE 结构来识别加壳、DLL 旁加载、可疑导入、签名异常和代码注入模式。
● 示例
- 01
使用 pefile 或 CFF Explorer 检查可疑 .exe 的导入表与 Authenticode 签名。
- 02
攻击者在应用程序搜索路径上替换无害 DLL,对已签名的 PE 执行 DLL 旁加载。
● 常见问题
PE 可执行文件格式 是什么?
Portable Executable,即 Windows 用于 .exe、.dll、.sys、.ocx 等文件的二进制格式,源自较旧的 COFF 对象格式。 它属于网络安全的 应用安全 分类。
PE 可执行文件格式 是什么意思?
Portable Executable,即 Windows 用于 .exe、.dll、.sys、.ocx 等文件的二进制格式,源自较旧的 COFF 对象格式。
PE 可执行文件格式 是如何工作的?
PE(Portable Executable)是 Windows 使用的二进制格式,适用于可执行文件(.exe)、动态库(.dll)、内核驱动(.sys)等原生二进制。PE 文件以 MS-DOS stub 开始,随后是 PE 签名、COFF 头、可选头、节表和 .text、.rdata、.data、.rsrc、.reloc 等节。PE 还包含 Import 与 Export Address Table、Authenticode 签名以及 ASLR、DEP、CFG、CET 等 Windows 缓解措施使用的元数据。逆向工程师、EDR 产品和威胁猎人通过解析 PE 结构来识别加壳、DLL 旁加载、可疑导入、签名异常和代码注入模式。
如何防御 PE 可执行文件格式?
针对 PE 可执行文件格式 的防御通常结合技术控制与运营实践,详见上方完整定义。
PE 可执行文件格式 还有哪些其他名称?
常见的别称包括: 可移植可执行文件, PE/COFF。
● 相关术语
- appsec№ 373
ELF 二进制格式
Executable and Linkable Format,Linux、BSD 及多数 System V Unix 衍生系统使用的可执行文件、目标文件与共享库的标准二进制容器。
- appsec№ 639
Mach-O
Mach-O 是 macOS、iOS、watchOS、tvOS 等 Apple 系统使用的原生可执行文件、目标文件及共享库格式,适用于 Apple 工具链生成的二进制。
- attacks№ 331
DLL 劫持
一种滥用 Windows DLL 搜索顺序的攻击,使合法程序加载攻击者控制的库,而不是预期的库。
- forensics-ir№ 650
恶意软件分析
对恶意样本进行结构化研究,以了解其功能、来源、入侵指标以及对受影响系统的影响。
- forensics-ir№ 926
逆向工程
对编译后的软件、固件或硬件进行反汇编与分析,以还原其设计、行为和内部工作原理的过程。