黑莓方面宣布推出一個(gè)新的開(kāi)源工具“PE Tree”，旨在減少逆向工程惡意軟件所需的時(shí)間和精力。該公司表示，PE Tree使得逆向工程師可以使用pefile和 PyQt5在樹(shù)狀視圖中查看可移植可執(zhí)行（Portable Executable，PE）文件，從而降低了從內(nèi)存中轉(zhuǎn)儲(chǔ)和重建惡意軟件的門(mén)檻，同時(shí)提供了社區(qū)可以建立的開(kāi)源 PE 查看器代碼庫(kù)。

PE Tree 還與 HexRays 的IDA Pro 反編譯器集成在一起，從而可以輕松導(dǎo)航 PE 結(jié)構(gòu)，以及轉(zhuǎn)儲(chǔ)內(nèi)存中的 PE 文件并執(zhí)行導(dǎo)入重建， 在識(shí)別和阻止各種惡意軟件方面至關(guān)重要。

該工具采用 Python 開(kāi)發(fā)的，并支持Windows、Linux 和 Mac 操作系統(tǒng)。它可以作為獨(dú)立應(yīng)用程序或 IDAPython 插件安裝和運(yùn)行，從而使用戶可以檢查任何可執(zhí)行的 Windows 文件并查看其組成。

圖 1 獨(dú)立應(yīng)用程序

圖 2 IDAPython 插件

使用 Ero Carrera 的pefile模塊分析 PE 文件，然后再映射到樹(shù)視圖中。在那里，用戶可以查看 headers 的摘要，包括 MZ header、DOS stub、Rich headers、數(shù)據(jù)目錄等。

此外，左側(cè)的“rainbow view”提供了 PE 文件結(jié)構(gòu)的高級(jí)概述，并傳達(dá)了每個(gè)區(qū)域的 offset/size/ratio。用戶可以單擊每個(gè)區(qū)域以跳至樹(shù)狀視圖，或者單擊鼠標(biāo)右鍵以保存到文件或?qū)С龅?CyberChef。

黑莓研究運(yùn)營(yíng)副總裁埃里克·米拉姆（Eric Milam）稱：“隨著網(wǎng)絡(luò)犯罪分子不斷發(fā)展，網(wǎng)絡(luò)安全社區(qū)需要在其武器庫(kù)中使用新工具來(lái)捍衛(wèi)和保護(hù)組織和人員?，F(xiàn)在市場(chǎng)上已有超過(guò) 10 億個(gè)惡意軟件，而且這個(gè)數(shù)字還在以每年 1 億個(gè)以上的數(shù)量持續(xù)增長(zhǎng)。因此我們創(chuàng)建了此解決方案，以幫助網(wǎng)絡(luò)安全社區(qū)進(jìn)行這場(chǎng)斗爭(zhēng)?！?/p>

更多詳細(xì)內(nèi)容可查看官方博客：https://blogs.blackberry.com/en/2020/08/blackberry-open-source-pe-tree-tool-for-malware-reverse-engineers

來(lái)源：開(kāi)源中國(guó)