Petit focus sur la librairie python pefile (Dispo ICI ) créée par Ero Carrera. Cette librairie permet de parser un executable windows sans se fatiguer que celui-ci soit 64 ou 32 bits.
J’ai pondu deux minis scripts python avec cette librairie, le premier est un update d’un script déja vu ici, qui montre les sections et leur entropie nommé «peentro.py». Un peu à la virus total, mais chez soi et qui couine sur les trucs «chelous».
$ ./peentro.py PE_538115.exe
Section Entropy Size MD5 Remark
6.3727153341 102400 98defc674456ba21609a0312dc407638 No section name,Unusal Segment
6.11305980197 20992 27252d4d114a91a0d7884cdb44fe4e49 No section name,Unusal Segment
4.08996922927 4096 d325d560d6d4575bdbb5d948fd9bce3e No section name,Unusal Segment
4.98423902683 5120 5fdce4f429a0cc4460f2638823420bc6 No section name,Unusal Segment
1.9077687349 1024 ebaa0f9b6cd4133424cbb39591a06ab9 No section name,Unusal Segment
$ ./peentro.py PE_262147.exe
Section Entropy Size MD5 Remark
.text 7.16030509804 143872 07d0e487f99c29f92e8861609f2daa27 High Entropy
.data 1.81463545985 512 2fc3edaab56833f2f092181a9ca16f65
Le second est un script de feignants nommé «decrottePE.py». Il extrait les executables PE depuis un dump. C’est toujours utile pour carver un executable depuis un dump mémoire volé dans un droppeur sans avoir a se fatiguer. L’executable est sauve à sa taille “normale” les overlay potentiels au cul de l’exe sont shootés.
$ ./decrottePE.py dump Candidate Found at offset 22080 False positive Candidate Found at offset 131072 False positive Candidate Found at offset 153155 False positive Candidate Found at offset 262147 PE_262147.exe 144896 bytes saved Candidate Found at offset 405670 False positive Candidate Found at offset 429123 False positive Candidate Found at offset 538115 PE_538115.exe 134656 bytes saved Candidate Found at offset 565917 False positive Candidate Found at offset 566040 False positive Candidate Found at offset 568820 False positive Candidate Found at offset 694851 False positive
Cette lib est décidément un bel objet.
Pingback: Outils, services, sites à (re)découvrir 2015 S04 | La Mare du Gof