La formidable librairie PEFILE

Petit focus sur la librairie python pefile (Dispo ICI ) créée par Ero Carrera. Cette librairie permet de parser un executable windows sans se fatiguer que celui-ci soit 64 ou 32 bits.

J’ai pondu deux minis scripts python avec cette librairie, le premier est un update d’un script déja vu ici, qui montre les sections et leur entropie nommé «peentro.py». Un peu à la virus total, mais chez soi et qui couine sur les trucs «chelous».

Le script est ici

$ ./peentro.py PE_538115.exe 
Section         Entropy         Size    MD5                                     Remark
                6.3727153341    102400  98defc674456ba21609a0312dc407638        No section name,Unusal Segment
                6.11305980197   20992   27252d4d114a91a0d7884cdb44fe4e49        No section name,Unusal Segment
                4.08996922927   4096    d325d560d6d4575bdbb5d948fd9bce3e        No section name,Unusal Segment
                4.98423902683   5120    5fdce4f429a0cc4460f2638823420bc6        No section name,Unusal Segment
                1.9077687349    1024    ebaa0f9b6cd4133424cbb39591a06ab9        No section name,Unusal Segment
$ ./peentro.py PE_262147.exe 
Section         Entropy         Size    MD5                                     Remark
.text           7.16030509804   143872  07d0e487f99c29f92e8861609f2daa27        High Entropy
.data           1.81463545985   512     2fc3edaab56833f2f092181a9ca16f65

Le second est un script de feignants nommé «decrottePE.py». Il extrait les executables PE depuis un dump. C’est toujours utile pour carver un executable depuis un dump mémoire volé dans un droppeur sans avoir a se fatiguer. L’executable est sauve à sa taille “normale” les overlay potentiels au cul de l’exe sont shootés.

le script est ici

$ ./decrottePE.py dump 
Candidate Found at offset 22080 False positive
Candidate Found at offset 131072 False positive
Candidate Found at offset 153155 False positive
Candidate Found at offset 262147 PE_262147.exe 144896 bytes saved
Candidate Found at offset 405670 False positive
Candidate Found at offset 429123 False positive
Candidate Found at offset 538115 PE_538115.exe 134656 bytes saved
Candidate Found at offset 565917 False positive
Candidate Found at offset 566040 False positive
Candidate Found at offset 568820 False positive
Candidate Found at offset 694851 False positive

Cette lib est décidément un bel objet.

 

This entry was posted in Reverse and tagged , , . Bookmark the permalink.

One Response to La formidable librairie PEFILE

  1. Pingback: Outils, services, sites à (re)découvrir 2015 S04 | La Mare du Gof

Leave a Reply

Your email address will not be published. Required fields are marked *

AlphaOmega Captcha Classica  –  Enter Security Code