Arquivos executáveis (.exe) ou binários também são denominados PE (Portable Executable – Executável Portável), esse é um padrão que a Microsoft estabeleceu ainda nos primeiros Windows, aonde decidiram desenvolver um formato de binário que fosse capaz de ser rodado em qualquer outra versão do Windows. Todo arquivo executável possui um cabeçalho responsável por armazenar informações do programa. No caso de arquivos executáveis win32(Windows), essas informações serão interpretadas pelo Windows Loader, que faz parte do kernel do Windows e é responsável por armazenar o binário do executável que esta no disco rígido (HD), na memória RAM, fazendo antes alguns ajustes.
Como os arquivos executáveis seguem um padrão, eles possuem uma mesma estrutura, com um mesmo formato de cabeçalho, com isso, lendo o cabeçalho de arquivos executáveis, é possível obter algumas características do arquivo em questão, dessa forma podemos analisar arquivos executáveis suspeitos, gerar assinaturas para serem usadas por programas de segurança como antivírus, controlar versões de executáveis, dentre outras funções.
O PEVé uma ferramenta simples porém funcional, capaz de ler o cabeçalho de arquivos PE que possuem a extensão.exe(executáveis) e.dll(bibliotecas de linkagem dinâmica), depois de ler o cabeçalho o PEV mostra todas as informações do mesmo para o usuário sem a necessidade de utilizar a API do Windows, veja abaixo o cabeçalho de um arquivo.exe (programa):
O PEV é gratuito e esta disponível para os principais sistemas operacionais (Windows, MAC eLinux), além de possuir uma versão on-line,aonde você envia o arquivo e ele mostra os resultados da analise na mesma página.
Para baixar o PEV ou utilizá-lo online, acesse a página oficial da ferramenta no SourceForge.
Lembrando que os cabeçalhos de arquivos executáveis, também podem ser lidos através leitores/editores hexadecimal, porém de uma forma muito menos simples e intuitiva.
Arquivos executáveis (.exe) ou binários também são denominados PE (Portable Executable – Executável Portável), esse é um padrão que a Microsoft estabeleceu ainda nos primeiros Windows, aonde decidiram desenvolver um formato de binário que fosse capaz de ser rodado em qualquer outra versão do Windows.
Todo arquivo executável possui um cabeçalho responsável por armazenar informações do programa. No caso de arquivos executáveis win32 (Windows), essas informações serão interpretadas pelo Windows Loader, que faz parte do kernel do Windows e é responsável por armazenar o binário do executável que esta no disco rígido (HD), na memória RAM, fazendo antes alguns ajustes.
Como os arquivos executáveis seguem um padrão, eles possuem uma mesma estrutura, com um mesmo formato de cabeçalho, com isso, lendo o cabeçalho de arquivos executáveis, é possível obter algumas características do arquivo em questão, dessa forma podemos analisar arquivos executáveis suspeitos, gerar assinaturas para serem usadas por programas de segurança como antivírus, controlar versões de executáveis, dentre outras funções.
O PEV é uma ferramenta simples porém funcional, capaz de ler o cabeçalho de arquivos PE que possuem a extensão.exe (executáveis) e .dll (bibliotecas de linkagem dinâmica), depois de ler o cabeçalho o PEV mostra todas as informações do mesmo para o usuário sem a necessidade de utilizar a API do Windows, veja abaixo o cabeçalho de um arquivo.exe (programa):
O PEV é gratuito e esta disponível para os principais sistemas operacionais (Windows, MAC eLinux), além de possuir uma versão on-line, aonde você envia o arquivo e ele mostra os resultados da analise na mesma página.
Para baixar o PEV ou utilizá-lo online, acesse a página oficial da ferramenta no SourceForge.
Lembrando que os cabeçalhos de arquivos executáveis, também podem ser lidos através leitores/editores hexadecimal, porém de uma forma muito menos simples e intuitiva.
Não deixem de comentar
!!!
Share this post
Link to post
Share on other sites