U
|
����T�±d¹G��ã��������������������@���sv���d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�Z e�j
|
Z
|
d�Z�G�d�d��d�e��Z d�d��Z�d d
|
�Z�d�d��Z�d�S�) zpeutils, Portable Executable utilities module
|
|
|
Copyright (c) 2005-2023 Ero Carrera <ero.carrera@gmail.com>
|
|
All rights reserved.
|
���Nz�Ero Carreraz�ero.carrera@gmail.comc��������������������@���s|���e�Z�d�Z�d�Z�d�d�d��Z�d�d�d��Z�d�d�d �Z�d d�d��Z�d!d�d��Z�d"d�d��Z d�d��Z
|
d#d�d��Z�d$d�d��Z�d%d�d��Z d&d�d��Z�d�S�)'Ú�SignatureDatabasea±���This class loads and keeps a parsed PEiD signature database.
|
|
Usage:
|
|
sig_db = SignatureDatabase('/path/to/signature/file')
|
|
and/or
|
|
sig_db = SignatureDatabase()
|
sig_db.load('/path/to/signature/file')
|
|
Signature databases can be combined by performing multiple loads.
|
|
The filename parameter can be a URL too. In that case the
|
signature database will be downloaded from that location.
|
Nc��������������������C���sR���t� �d�t�j�¡�|�_�t��|�_�d�|�_�t��|�_�d�|�_�t��|�_ d�|�_
|
d�|�_�|�j�|�|�d����d�S�)�Nzh\[(.*?)\]\s+?signature\s*=\s*(.*?)(\s+\?\?)*\s*ep_only\s*=\s*(\w+)(?:\s*section_start_only\s*=\s*(\w+)|)r����©�Ú�filenameÚ�data) Ú�reÚ�compileÚ�SÚ parse_sigÚ�dictÚ�signature_tree_eponly_trueÚ�signature_count_eponly_trueÚ�signature_tree_eponly_falseÚ�signature_count_eponly_falseÚ�signature_tree_section_startÚ�signature_count_section_startÚ max_depthÚ�_SignatureDatabase__load©�Ú�selfr����r����©�r����ú>d:\z\workplace\vscode\pyvenv\venv\Lib\site-packages\peutils.pyÚ�__init__&���s�����������þ����������������z�SignatureDatabase.__init__é����c������������ �������C���s���t��}�t�|�j��D�]b\�}�}�|�j�|�k�r$q�|�j�}�d�|�|�d���t�|�j��d� �d�d��|�j�D��¡�f���}�|� �|�j |�|�|�d�d�|�d��¡���q�d �|�¡�d ��S�)
|
a����Generates signatures for all the sections in a PE file.
|
|
If the section contains any data a signature will be created
|
for it. The signature name will be a combination of the
|
parameter 'name' and the section number and its name.
|
z�%s Section(%d/%d,%s)é����Ú�c��������������������S���s����g�|�]�}�|�t�j�k�r�|��q�S�r����)�Ú�stringÚ printable©�Ú�.0Ú�cr����r����r����Ú
|
<listcomp>^���s��������
|
�zASignatureDatabase.generate_section_signatures.<locals>.<listcomp>FT)�Ú�ep_onlyÚ�section_start_onlyÚ
|
sig_lengthÚ�
|
)
|
Ú�listÚ enumerateÚ�sectionsZ SizeOfRawDataÚ�PointerToRawDataÚ�lenÚ�joinÚ�NameÚ�appendÚ&_SignatureDatabase__generate_signature) r����Ú�peÚ�namer#���Z�section_signaturesÚ�idxÚ�sectionÚ�offsetZ�sig_namer����r����r����Ú�generate_section_signaturesH���s,���������
|
��������������ü�����������������ú�ÿ��z-SignatureDatabase.generate_section_signaturesc��������������������C���s"���|� �|�j�j�¡�}�|�j�|�|�|�d�|�d��S�)�z°Generate signatures for the entry point of a PE file.
|
|
Creates a signature whose name will be the parameter 'name'
|
and the section number and its name.
|
T)�r!���r#���)�Z�get_offset_from_rvaÚ�OPTIONAL_HEADERÚ�AddressOfEntryPointr-���)�r����r.���r/���r#���r2���r����r����r����Ú�generate_ep_signaturen���s�������������������ÿz'SignatureDatabase.generate_ep_signatureFc������������
|
�������C���s^���|�j�|�|�|���
���}�d� �d�d��|�D��¡�}�|�d�k�r4d�}�n�d�}�|�d�k�rFd�}�n�d�}�d�|�|�|�|�f���} | S�)�Nú� c��������������������S���s����g�|�]�}�d�t�|�����q�S�)�z�%02x)�Ú�ordr����r����r����r����r ������s��������z:SignatureDatabase.__generate_signature.<locals>.<listcomp>TÚ�trueÚ�falsez9[%s]
|
signature = %s
|
ep_only = %s
|
section_start_only = %s
|
)��__data__r*���)
|
r����r.���r2���r/���r!���r"���r#���r����Ú�signature_bytesÚ signaturer����r����r����Z�__generate_signature{���s�������������������������������ü��z&SignatureDatabase.__generate_signatureTc��������������������C���s8���|� �|�|�|�¡�}�|�r4|�d�k�r(d�d��|�D��S�|�d���d���S�d�S�)�a����Matches and returns the exact match(es).
|
|
If ep_only is True the result will be a string with
|
the packer name. Otherwise it will be a list of the
|
form (file_offset, packer_name) specifying where
|
in the file the signature was found.
|
Fc��������������������S���s ���g�|�]�}�|�d���|�d���d���f��q�S�)�r����r����éÿÿÿÿr����)�r����Ú�matchr����r����r����r ���©���s��������z+SignatureDatabase.match.<locals>.<listcomp>r����r>���N©�Ú�_SignatureDatabase__match©�r����r.���r!���r"���Ú�matchesr����r����r����r?������s����� ����������z�SignatureDatabase.matchc��������������������C���s*���|� �|�|�|�¡�}�|�r&|�d�k�r�|�S�|�d���S�d�S�)�z+Matches and returns all the likely matches.Fr����Nr@���rB���r����r����r����Ú match_all¯���s����������������z�SignatureDatabase.match_allc����������������
|
���C���s����|�d�k�rPz
|
|�j�}�W�n$��t�k
|
r6��}���z��W�5�d�}�~�X�Y�n�X�|�j�}�d�d��|�j�D��}�nh|�d�k�r z�|� �¡�}�W�n$��t�k
|
r��}���z��W�5�d�}�~�X�Y�n�X�|�j�}�|�j�j�}�|�g�}�n�|�j�}�|�j�}�t t
|
|���}�g�} |�D�]0}
|
|� �|�|�|
|
|
|
|�j���
���¡�}�|�rÀ| |
|
|�f�¡���qÀ|�d�k��r
|
| �r
|
| d���S�| S�)�NTc��������������������S���s����g�|�]
|
}�|�j��q�S�r����)�r(���)�r����r1���r����r����r����r ���Õ���s��������z-SignatureDatabase.__match.<locals>.<listcomp>r����)�r;���Ú Exceptionr����r'���Z�get_memory_mapped_imager����r4���r5���r ���Ú�ranger)���Ú(_SignatureDatabase__match_signature_treer����r,���)�r����r.���r!���r"���r����Z�excpÚ
|
signaturesÚ�scan_addressesÚ�eprC���r0���Ú�resultr����r����r����Z�__match¿���s<���������
|
����������������������������������������ÿ������
|
�����z�SignatureDatabase.__matchc������������
|
�������C���sz���|�}�d�g�}�|�d�k�r�|�j�}�n�|�d�k�r(|�j�}�g�}�|�D�]0}�|� �|�|�|�|�|�j���
���¡�} | r0|� �|�| f�¡���q0|�d�k�rv|�rv|�d���S�|�S�)�Nr����T)�r����r����rG���r����r,���)
|
r����Z code_datar!���r"���r����rI���rH���rC���r0���rK���r����r����r����Ú
|
match_data
|
���s$��������������������������ÿ������������z�SignatureDatabase.match_datar����c������������ ��� ���C���s2���t��}�|�}�t�d�d��|�D���D�]´\�}�}�|�d�k�r0��qÒ|� �|�d�¡�}�d�t�|� �¡��k�rt��} t�|� �¡��D�]�}
|
|
|
d���d�k�r^| �|
|
d���¡���q^|� �| ¡���d�|�k�rÌ|� �d�d�¡�}�|�|�d���d�
���}�|�rÌ|� �|� �|�|�|�|���d���¡�¡���|�}�q�|�d�k �r.d�t�|� �¡��k��r.t��} t�|� �¡��D�]"}
|
|
|
d���d�k��r�| �|
|
d���¡����q�|� �| ¡���|�S�)�a
|
���Recursive function to find matches along the signature tree.
|
|
signature_tree is the part of the tree left to walk
|
data is the data being checked against the signature tree
|
depth keeps track of how far we have gone down the tree
|
c��������������������S���s"���g�|�]�}�t�|�t��r�|�n�t�|���q�S�r����)�Ú
|
isinstanceÚ�intr8���©�r����Ú�br����r����r����r ���D���s��������z<SignatureDatabase.__match_signature_tree.<locals>.<listcomp>Nr����r����z�??)�r%���r&���Ú�getÚ�valuesÚ�itemsr,���Ú�extendrG���) r����Z�signature_treer����Ú�depthZ matched_namesr?���r0���Ú�byteZ
|
match_next�names�itemZ�match_tree_alternateZ�data_remainingr����r����r����Z�__match_signature_tree6���s>���������������������������
|
|
ÿ�ÿ��������������
|
�z(SignatureDatabase.__match_signature_treec��������������������C���s����|�j�|�|�d����d�S�)�znLoad a PEiD signature file.
|
|
Invoking this method on different files combines the signatures.
|
r����N)�r����r����r����r����r����Ú�load~���s������z�SignatureDatabase.loadc������������������������sè���|�d�k rt�j� �|�¡�sNz t�j� �|�¡�}�|� �¡�}�|� �¡���W�q��t�k
|
rJ�������Y�qX�qz�t |�d��}�|� �¡�}�|� �¡���W�q��t�k
|
r�������Y�qX�n�|�}�|�sd�S�d�d���|�j
|
�|�¡�}�|�D��]6\�}�}�}�} }
|
| �¡� ¡�} |� �d�d�¡� �¡�}��f�d�d��|� �¡�D��}�| d�k�rúd } n�d
|
} |
|
d�k��r�d }
|
n�d
|
}
|
d�}�|
|
d k��r6|�j�} |���j�d�7���_�n4| d k��rV|�j�} |���j�d�7���_�n�|�j�} |���j�d�7���_�t�|��D�]^\�}�}�|�d���t�|��k��r¬| �|�t��¡�| |�<�d�| |���|�<�n�| �|�t��¡�| |�<�| |���} |�d�7�}��qr|�|�j�k�rª|�|�_�qªd�S�) NÚ�rtc��������������������S���s����d�|�k�r�|�S�t�|�d��S�)�Nú�?é����)�rN���)�Ú�valuer����r����r����Ú�to_byte¨���s����������z)SignatureDatabase.__load.<locals>.to_bytez�\nr����c������������������������s����g�|�]�}��|���q�S�r����r����rO���©�r^���r����r����r ���À���s��������z,SignatureDatabase.__load.<locals>.<listcomp>r9���TFr����r����)�Ú�osÚ�pathÚ�existsÚ�urllibÚ�requestÚ�urlopenÚ�readÚ�closeÚ�IOErrorÚ�openr ���Ú�findallÚ�stripÚ�lowerÚ�replaceÚ�splitr����r����r����r����r ���r����r&���r)���rQ���r
|
���r����)�r����r����r����Z�sig_fZ�sig_datarC���Z�packer_namer=���Z�superfluous_wildcardsr!���r"���r<���rU����treer0���rV���r����r_���r����Z�__load���sj�������������������
|
|
|
������������ú������������������������
|
|
|
|
�z�SignatureDatabase.__load)�NN)�r����)�r����)�FFr����)�TF)�TF)�TF)�r����)�NN)�NN)�Ú�__name__Ú
|
__module__�__qualname__�__doc__r����r3���r6���r-���r?���rD���rA���rL���rG���rY���r����r����r����r����r����r��������s��������
|
"
|
&
|
������ÿ
|
|
|
��K
|
,
|
H
|
�r����c��������������������C���s����d�S�)�r����Nr����)�r.���r����r����r����Ú�is_validí���s������rt���c��������������������C���s¢���d�}�d�}�t�|�d��r|�j�D�]p}�d�}�|�j�D�]`}�|�j�|�j�j�����k�rJ|�j�d���k�rRn���n�d�}�|�d�k r|�|�j�����k�rt|�d���k�rn���n�|�d�7�}�|�j�}�q&q�d�}�|� �¡�}�|�r|���d�S�)�zp
|
unusual locations of import tables
|
non recognized section names
|
presence of long ASCII strings
|
Fr�����DIRECTORY_ENTRY_BASERELOCN���Tr����)��hasattrru����entriesZ�rvar4���r5���Z�get_warnings)�r.���Z�relocations_overlap_entry_pointZ�sequential_relocsZ
|
base_relocZ�last_reloc_rvaZ�relocZ�warnings_while_parsingÚ�warningsr����r����r����Ú is_suspiciousò���s,���������
|
|
|
�$����ÿ�����þ���þ
|
|
���������rz���c��������������������C���s`���t�|� �¡��}�|�s�d�S�d�}�d�}�|�j�D�](}�|� �¡�}�t�|� �¡��}�|�d�k�r"|�|�7�}�q"|�|���d�k�r\d�}�|�S�)�a8���Returns True is there is a high likelihood that a file is packed or contains compressed data.
|
|
The sections of the PE file will be analyzed, if enough sections
|
look like containing compressed data and the data makes
|
up for more than 20% of the total file size, the function will
|
return True.
|
TFr����g�@gÉ?)�r)���Z�trimr'���Z�get_entropyÚ�get_data)�r.���Z�total_pe_data_lengthZ)has_significant_amount_of_compressed_dataZ�total_compressed_datar1���Z s_entropyZ�s_lengthr����r����r����Ú�is_probably_packed(���s����������������
|
|
�����r|���)�rs���r`���r����r����Ú�urllib.requestrc���Ú�urllib.parseÚ�urllib.errorZ�pefileÚ
|
__author__�__version__Z�__contact__�objectr����rt���rz���r|���r����r����r����r�����<module>����s��������������������������\���6
|
