file-unpumper是一款针对PE(可移植可执行)文件的安全分析工具,可以帮助广大研究人员轻松对PE文件执行安全分析与审计任务。
file-unpumper是一款功能强大的命令行实用程序,旨在清理和分析可移植可执行(PE)文件。它提供了一系列功能,可帮助开发人员和安全专业人员更有效地处理PE文件。
1、PE Header Fixing:file-unpumper可以修复和对齐给定可执行文件的PE Header。这对于解决由修改Header的加壳程序或混淆程序引起的问题特别有用。
2、资源提取:该工具可以从PE文件中提取嵌入的资源,例如图标、位图或其他数据资源。这对于逆向工程或分析可执行文件的内容很有帮助。
3、元数据分析:file-unpumper对PE文件的元数据进行全面分析,包括有关机器架构、节数、时间戳、子系统、图像库和节详细信息的信息。
4、文件清理:file-unpumper的核心功能是从PE文件中删除任何“抽取”或填充的数据,从而生成可执行文件的干净版本。这有助于恶意软件分析、逆向工程,或者只是减小文件的大小。
5、并行处理:为了确保高效的性能,file-unpumper利用并行处理功能使其能够轻松处理大文件。
6、进度跟踪:在文件清理过程中,会显示进度条,以直观的方式显示操作进度和预计剩余时间。
Rust
Cargo
Cargo安装
file-unpumper是用 Rust 编写的,可以使用 Cargo 包管理器轻松安装:
cargo install file-unpumper源码获取
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/0x11DFE/file-unpumper.git
<INPUT>:输入目标PE文件的路径。
选项
--fix-headers:修复并对齐输入文件的 PE 头。
--extract-resources:从输入文件中提取嵌入的资源。
--analyze-metadata:分析并显示PE文件的元数据。
-h, --help:打印帮助信息。
-V, --version:打印版本信息。
清理 PE 文件并删除所有“抽取”的数据:
file-unpumper path/to/input.exe修复 PE 头并分析文件的元数据:
file-unpumper --fix-headers --analyze-metadata path/to/input.exe从 PE 文件中提取资源:
file-unpumper --extract-resources path/to/input.exe对文件执行所有可用的操作:
file-unpumper --fix-headers --extract-resources --analyze-metadata path/to/input.exe本项目的开发与发布遵循MIT开源许可协议。
file-unpumper:
https://github.com/0x11DFE/file-unpumper
原文始发于微信公众号(FreeBuf):file-unpumper:一款针对PE文件的安全分析工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论