黑莓方面宣布推出一個新的開源工具“PE Tree”，旨在減少逆向工程惡意軟件所需的時間和精力。該公司表示，PE Tree 使得逆向工程師可以使用pefile 和PyQt5 在樹狀視圖中查看可移植可執行（Portable Executable，PE）文件，從而降低了從內存中轉儲和重建惡意軟件的門檻，同時提供了社區可以建立的開源PE 查看器代碼庫。

PE Tree 還與HexRays 的IDA Pro 反編譯器集成在一起，從而可以輕鬆導航PE 結構，以及轉儲內存中的PE 文件並執行導入重建， 在識別和阻止各種惡意軟件方面至關重要。

該工具採用Python開發的，並支持Windows、Linux和Mac操作系統。它可以作為獨立應用程序或IDAPython插件安裝和運行，從而使用戶可以檢查任何可執行的Windows文件並查看其組成。

圖1 獨立應用程序

圖2 IDAPython 插件

使用Ero Carrera 的 pefile 模塊分析PE 文件，然後再映射到樹視圖中。在那裡，用戶可以查看headers 的摘要，包括MZ header、DOS stub、Rich headers、數據目錄等。

此外，左側的“rainbow view”提供了PE 文件結構的高級概述，並傳達了每個區域的offset/size/ratio。用戶可以單擊每個區域以跳至樹狀視圖，或者單擊鼠標右鍵以保存到文件或導出到Cyber​​Chef。

黑莓研究運營副總裁埃里克·米拉姆（Eric Milam）稱：“隨著網絡犯罪分子不斷發展，網絡安全社區需要在其武器庫中使用新工具來捍衛和保護組織和人員。現在市場上已有超過10 億個惡意軟件，而且這個數字還在以每年1 億個以上的數量持續增長。因此我們創建了此解決方案，以幫助網絡安全社區進行這場鬥爭。”

更多詳細內容可查看官方博客：https://blogs.blackberry.com/en/2020/08/blackberry-open-source-pe-tree-tool-for-malware-reverse-engineers