PETree是黑莓推出的一个逆向工程工具,用于使用pefile和PyQt5在树状视图中查看可移植可执行(PE)文件的Python模块,还可与IDAPro一起使用以转储内存中的PE文件并重建导入。
软件特色
独立应用程序和IDAPython插件
支持Windows/Linux/Mac
RainbowPE比例图:
PE结构,大小和文件位置的高级概述
可以快速直观地比较PEsamples
在树视图中显示以下PEheaders:
MZheaders
DOSstub
Richheaders
NT/File/Optionalheaders
Datadirectories
Sections
Imports
Exports
Debuginformation
Loadconfig
TLS
Resources
Versioninformation
Certificates
Overlay
从以下位置提取并保存数据:
DOSstub
Sections
Resources
Certificates
Overlay
发送数据到CyberChef
VirusTotal搜索:
Filehashes
PDBpath
Timestamps
Sectionhash/name
Importhash/name
Exportname
Resourcehash
Certificateserial
独立应用程序;
Double-clickVA/RVAtodisassemblewithcapstone
十六进制转储数据
IDAPython插件:
轻松浏览PE文件结构
Double-clickVA/RVAtoviewinIDA-view/hex-view
在IDB中搜索内存中的PE文件;
重建进口(IAT+IDT)
转储重建的PE文件
在IDB中自动注释PE文件结构
在IDB中自动标记IAT偏移量
