PE-sieve

Бесплатно
Открытый исходный код
Windows

Сайт: github.com/hasherezade/pe-sieve

PE-sieve — это инструмент для анализа процессов Windows, предназначенный для обнаружения и извлечения потенциально вредоносных внедрений в память исполняемых модулей. Он был разработан как утилита для форензики и исследования вредоносного ПО, позволяющая сканировать память запущенных процессов и выявлять изменения по сравнению с оригинальными образами PE (Portable Executable). PE-sieve фокусируется на идентификации инлайн-хуков, инъекций модулей, техник «process hollowing», патчей и замещённых секций в памяти, а также на дампе подозрительных областей для последующего анализа.

Утилита обычно запускается локально на исследуемой машине и сравнивает содержимое загруженных в память модулей с ожидаемыми данными из дисковых PE-файлов или с изображением на диске, если оно доступно. По результатам сканирования PE-sieve формирует структурированные отчёты в формате JSON и может сохранять дампы изменённых или внедрённых модулей. Инструмент применяется исследователями безопасности, инцидент-респонс командами и специалистами по злонамеренному ПО для быстрой идентификации аномалий в рантайме и получения артефактов для дальнейшего статического и динамического анализа.

  • Сравнение памяти и диска: детектирование расхождений между загруженными модулем в памяти и его дисковым образом, включая изменённые или дополненные секции.
  • Обнаружение инъекций: выявление загруженных в процесс дополнительных PE-образов, внедрённых DLL и исполняемых блоков, не относящихся к оригинальному приложению.
  • Инлайн-хуки и перехваты: поиск модификаций кодовых участков, перезаписи точек входа и замены инструкций, характерных для перехвата функций и сниффинга.
  • Process hollowing и замещение: выявление техник, когда легитимный процесс заменяется или частично перезаписывается вредоносным кодом в памяти.
  • Патчи в памяти: обнаружение локальных изменений байтов в исполняемых секциях, включая подмену импорта и подделку таблиц.
  • Дамп артефактов: сохранение подозрительных модулей и областей памяти в отдельные файлы для последующего анализа и восстановления PE-образов.
  • JSON-отчёты: генерация машиночитаемых отчётов с метаданными сканирования, списками обнаруженных изменений и указаниями на расположение дампов.
  • Интеграция с рабочими процессами: возможность включения в набор инструментов инцидент-респонса и автоматизированных пайплайнов для форензики.
Подробнее