PE-bear PE静态分析工具

工具简介

PE-bear（Portable Executable Analyzer）是由 hasherezade 开发的免费开源跨平台图形化PE静态分析工具，整合 PEiD、LordPE、Dependency Walker 等多款工具功能。对加壳、头部损坏、畸形PE文件兼容性极强，是逆向分析、恶意样本研判领域主流工具。

• 支持系统：Windows、Linux、macOS
• 支持架构：PE32(x86)、PE64(x64)、ARM64 PE
• 支持文件：exe、dll、sys、ocx、驱动等所有Windows可执行文件

核心功能

1. PE结构全解析
   可视化展示DOS头、NT签名、文件头、可选头、节表、导入表、导出表、资源表，同时解析重定位、TLS、延迟导入、调试信息等完整结构，标注RVA、文件偏移、内存属性。

2. 壳与保护识别
   内置海量特征库，可识别UPX、VMProtect、Themida、ASPack等数百种加壳/加密程序；支持自定义特征规则，可批量扫描样本。

3. 内置反汇编引擎
   支持按RVA/文件偏移跳转反汇编，机器码与汇编代码对照，可快速查看入口代码、脱壳Stub逻辑。

4. PE编辑与修复
   支持增删节区、修改节区权限，手动修复/重建导入表；可修改镜像基址、入口点、校验和，提取节区数据与内嵌资源。

5. 对比与批量分析
   多标签页同时打开多个文件，支持双文件PE结构逐项对比；集成十六进制视图，支持二进制特征码、正则、掩码搜索。

6. 恶意样本分析
   批量提取ANSI/Unicode字符串，筛查可疑链接、路径与指令；识别可写可执行(WX)异常节区，匹配已知恶意代码特征。

适用场景

1. 恶意软件静态分析：识别加壳、筛查高危API、定位可疑特征
2. 软件逆向工程：查看程序依赖、导出函数、提取资源、脱壳预处理
3. PE知识学习：直观展示PE分层结构，辅助入门教学
4. 文件修复：修复脱壳后损坏的导入表、异常文件头
5. 安全审计：检测异常段、无签名可疑程序

快速使用流程

1. 启动程序，直接将exe/dll/sys等文件拖拽至窗口打开
2. General面板：查看程序架构、入口点、自动识别加壳类型
3. Sections面板：查看节区大小、权限，排查WX可疑段
4. Imports面板：查看依赖DLL与导入API，筛选高危函数
5. 右键入口点RVA选择反汇编，查看入口代码
6. 如需修复PE文件，在节表、导入表对应菜单完成编辑、重建操作

补充说明

1. 本工具为纯静态分析，无动态调试功能，可搭配 x64dbg、IDA 组合使用。
2. 最新版 v0.7.x 基于 Qt6 开发，支持 ARM64 PE，自带简体中文界面。
3. 全程免费开源、无广告、无捆绑。

更新日志（v0.7.2 | 2026-06-05）

问题修复

• 解除资源显示50条数量限制
• 修复Win11下十六进制编辑器、反汇编视图选区异常问题
• 修复十六进制编辑器编辑、快速操作引发的崩溃
• 修复签名搜索窗口未完成就关闭导致的崩溃
• 多项细节BUG修复

功能新增

• 新增日语语言包
• 十六进制编辑器：选中数字可解析为PE地址并跳转，支持自定义字符填充选区
• 新增独立字符串搜索功能，区分ANSI与Unicode
• 优化特征码匹配规则，奇数长度字符串末位自动视为通配符
• 统一差异对比窗口双视图工具栏样式

官方地址

官网：https://pe-bear.hasherezade.net/
开源仓库：https://github.com/hasherezade/pe-bear
国内镜像：https://gitcode.com/gh_mirrors/pe/pe-bear

分享到：

赞 (0) 打赏