Sommaire

Le Format PEformat PEPE

1. Introduction

Le format PE (Portable Executable) est le format des exécutables et des bibliothèques utilisé par Windows. Ce format est utilisé par Microsoft depuis Windows 95.

Le format PE a une structure particulière. Il est important pour un analyste de malwares de comprendre cette structure. En effet, tous les malwares actuels jouent avec cette structure (via le packer par exemple). De plus, il est très utile de pouvoir reconnaître ce format.

Lors de l’analyse d’une image mémoire, il est possible de trouver des binaires ou des bibliothèques chargées en mémoire et donc de voir leurs PE.

2. Schéma du format PE

Le format PE peut être décrit par ce schéma :

En-tête MZ-DOS

Segment DOS

En-tête PE

Table des sections

Section 1

Section 2

Section N

a. En-tête MZ-DOS

Cette partie permet à Windows de reconnaître le fichier comme un exécutable. Elle correspond à la structure suivante :

typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header  
    WORD   e_magic;                // Magic number  
    WORD   e_cblp;                 // Bytes on last page of file 
    WORD   e_cp;                   // Pages in file  
    WORD   e_crlc;           ...