PEGuard é uma ferramenta desenvolvida em C++ voltada para análise estática de executáveis Windows (Portable Executable – PE). O projeto utiliza cálculo de entropia e heurísticas para identificar comportamentos suspeitos, técnicas de ofuscação e possíveis indicadores relacionados à análise de segurança.
O PEGuard realiza inspeções estruturais e heurísticas, incluindo:
- Identificação da arquitetura do binário (x86 / x64)
- Detecção do Subsystem (GUI ou Console)
- Análise de ImageBase e Entry Point (RVA e VA)
- Quantidade e características das seções
- Verificação de flags de memória (Read, Write, Execute)
- Detecção de seções RWX
- Cálculo de entropia por seção para identificar compressão ou criptografia
- Verificação de Entry Point localizado fora da
.text - Geração de Suspicion Score baseado em heurísticas
O PEGuard foi criado com foco educacional e investigativo, explorando conceitos de baixo nível relacionados ao funcionamento interno de executáveis Windows, engenharia reversa e análise estática. A ferramenta busca auxiliar no entendimento de padrões comuns observados em binários potencialmente ofuscados ou suspeitos.
- C++
- Windows API
- Estrutura Portable Executable (PE)
- Conceitos de engenharia reversa e análise estática
- Compile o projeto em ambiente Windows.
- Execute o binário passando um executável PE como entrada.
- Analise o relatório gerado com as métricas e indicadores heurísticos.
- Análise de imports suspeitos
- Detecção básica de packers
- Heurísticas mais avançadas
- Expansão do sistema de scoring
- Extração e análise de strings
- Melhorias na interface
Este projeto possui finalidade educacional e de pesquisa em segurança da informação. Não deve ser utilizado para atividades maliciosas.