+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : البرامج و أدوات الهندسة العكسية - RCE Tools (https://www.at4re.net/f/forum-29.html)
+---- قسم : برامج فحص الملفات - PE Scanning Tools (https://www.at4re.net/f/forum-38.html)
+---- الموضوع : PE-bear للكشف عن الضغط او التشفير او الحماية يستخدم في تحليل البرامج الضارة بشكل خاص (/thread-500.html)
PE-bear للكشف عن الضغط او التشفير او الحماية يستخدم في تحليل البرامج الضارة بشكل خاص - Gu-sung18 - 13-01-2019
PE-bear
هي اداة مجانية ومفتوحة المصدر لتحليل وتعديل ملفات PE هدفها تقديم أداء سريع ومرن ويستخدمها محللي البرمجيات الخبيثة لتقدم نظرة اولى على البرنامج الضار قبل القيام بتحليله، الأداة مستقرة وقادرة على التعامل مع الملفات PE التالفة.
الميزات والتفاصيل
- تحليل وتعديل ملفات PE
- التعامل مع PE32 و PE64
- عرض ملفات متعددة في نفس الوقت
- التعرف على برامج الضغط المعروفة (عن طريق استخدام التواقيع)
- disassembler سريع - بدءاً من أي RVA او offset
- عمل تصوير مرئي لأقسام المقاطع
- مقارنة انتقائية لملفين PE المختارين
- إضافة عناصر جديدة (sections, imports)
- تعمل الاداة على ويندوز ولينكس
- و غيرها…
![[صورة مرفقة: pe-bear_linux-sections.png?w=640]](https://hshrzd.files.wordpress.com/2013/06/pe-bear_linux-sections.png?w=640)
تأتي اداة PE-bear أيضًا مع disassembler بسيط وتفاعلي:
![[صورة مرفقة: pe-bear_linux2.png?w=640]](https://hshrzd.files.wordpress.com/2013/06/pe-bear_linux2.png?w=640)
![[صورة مرفقة: 0-3-7.png?w=640&h=479]](https://hshrzd.files.wordpress.com/2014/03/0-3-7.png?w=640&h=479)
يمكنها ان تتعامل حتى مع ملفات PE التالفة.
![[صورة مرفقة: cost.png?w=640&h=479]](https://hshrzd.files.wordpress.com/2013/07/cost.png?w=640&h=479)
يمكنك اضافة اقسام جديدة
![[صورة مرفقة: add_section.png?w=640]](https://hshrzd.files.wordpress.com/2018/04/add_section.png?w=640)
---------------
الاداة تحتاج Visual Studio 2010 Redistributable package لكي تعمل، اذا لم تكن هذه الحزمة منصبة لديك يمكنك تحمليها & تنصيبها من هنا vcredist_x64..zip
http://download.microsoft.com/download/3/2/2/3224B87F-CFA0-4E70-BDA3-3DE650EFEBA5/vcredist_x64.exe
http://download.microsoft.com/download/5/B/C/5BC5DBB3-652D-4DCE-B14A-475AB85EEF6E/vcredist_x86.exe
--------------
التواقيع: الاداة تستخدم محرك خاص للتواقيع مما يعني محرك مختلف عن تواقيع PEiD ، هنا سكربت يقوم بتحويل تواقيع PEiD الى تواقيع PE-bear كما تم تحويل قاعدة بيانات التواقيع الشهيرة userdb.txt عن طريق السكربت الى تواقيع خاصة بـPE-bear يمكنك تحميلها من هنا file-sig-txt
--------------
لتحميل الاداة
https://github.com/hasherezade/pe-bear-releases/releases
https://github.com/hasherezade/bearparser