Forensisch expert onderzoekt EXE en DLL's

Bij PE denk ik meteen aan Bart. Maar uit die koker is dit programma dus niet afkomstig. Bij sommige tools duurt het even voor ze hun nut bewijzen en ze een plek hier op de site verdienen. Bij PE Explorer was van begin af aan duidelijk dat het programma de aandacht waard was. Dit programma is behoorlijk spannend te noemen. De vraag is alleen voor wie de tool bedoeld is en of je er ook echt iets mee kunt.

Portable Executable

De ‘PE’ in PE Explorer is de afkorting van Portable Executable en dat is een bestandsformaat voor programmacode in zowel 32- als 64-bit versies van Windows. Portable wil daarbij niet zeggen dat het applicaties zijn die via een usb-stick moeten worden geïnstalleerd of die zelfs helemaal geen installatie nodig hebben. Portable staat hier voor de compatibiliteit van de soorten programma’s met de instructieset van verschillende architecturen van besturingssystemen. In het geval van PE zijn dat ondermeer de x86 architectuur IA-32, maar ook Intel’s IA-64, x86-64 (AMD64/Intel64) en verschillende instruction set architectures zoals van Windows NT op MIPS, Alpha en PowerPC maar ook Windows CE.

Bestanden in het PE-formaat zijn zeker niet uniek maar komen juist heel veel voor op het Windows-platform zoals .exe, .dll, .sys en .acm (drivers), .ocx van ActiveX controls, taalpakketten (.mui), onderdelen van het Configuratiescherm (.cpl), screensavers (.scr) en nog veel meer. PE Explorer kan deze bestanden openen zoals Word een document opent. Het gaat zelfs op dezelfde manier. Via File, Open en daarna een bestand van een van de genoemde bestandstypes selecteren.

PE Explorer neemt een kijkje in de Adobe Reader 9.0 (AcroRD32.exe).

Headers Info

Wordt een bestand geopend, dan toont PE Explorer de ‘Headers Info’ zoals de compatibele architectuur, de time en date stamp, informatie over pointers en symbols en nog veel meer. Het is op deze manier mogelijk al heel veel informatie over een uitvoerbaar bestand te vergaren zonder het bestand te hoeven starten. Dat is handig, maar om de gegevens die PE Explorer uit het programma haalt te begrijpen is een flinke dosis programmeerkennis noodzakelijk. Zeker wanneer, heel handig, direct vanuit een relevant veld bijvoorbeeld de Characteristics Editor wordt gestart. Hier kunnen kenmerken van de executable in worden aangepast, zoals het wel of niet ondersteunen van adresruimten groter dan 2GB, of het eerst naar het wisselbestand kopiëren van de code alvorens deze uit te voeren (wanneer het bestand vanaf een verwisselbaar medium wordt gestart). Door deze opties in of uit te schakelen, wordt de informatie aangepast die het besturingssysteem over een applicatie krijgt wanneer deze wordt gestart.

Met de Characteristics Editor wordt de informatie over een applicatie bestemd voor het OS, aangepast.