archive.git - Gitblit

Ë  
Jñúh¹GãódZddlZddlZddlZddlZddlZddlZddlZdZ    ejZ
dZGdde«Z dZdZd    Zy)
zpeutils, Portable Executable utilities module
 
 
Copyright (c) 2005-2023 Ero Carrera <ero.carrera@gmail.com>
 
All rights reserved.
éNzEro Carrerazero.carrera@gmail.comcóheZdZdZddZddZddZ    ddZddZddZ    d    Z
dd
ZddZddZ dd Zy)ÚSignatureDatabasea±This class loads and keeps a parsed PEiD signature database.
 
    Usage:
 
        sig_db = SignatureDatabase('/path/to/signature/file')
 
    and/or
 
        sig_db = SignatureDatabase()
        sig_db.load('/path/to/signature/file')
 
    Signature databases can be combined by performing multiple loads.
 
    The filename parameter can be a URL too. In that case the
    signature database will be downloaded from that location.
    Ncótjdtj«|_t    «|_d|_t    «|_d|_t    «|_    d|_
d|_|j||¬«y)Nzh\[(.*?)\]\s+?signature\s*=\s*(.*?)(\s+\?\?)*\s*ep_only\s*=\s*(\w+)(?:\s*section_start_only\s*=\s*(\w+)|)r©ÚfilenameÚdata) ÚreÚcompileÚSÚ    parse_sigÚdictÚsignature_tree_eponly_trueÚsignature_count_eponly_trueÚsignature_tree_eponly_falseÚsignature_count_eponly_falseÚsignature_tree_section_startÚsignature_count_section_startÚ    max_depthÚ_SignatureDatabase__load©Úselfrrs   ú:H:\Change_password\venv_build\Lib\site-packages\peutils.pyÚ__init__zSignatureDatabase.__init__&soôØvÜDDó
ô"+/«&Ô'Ø+,Ô(Ü+/«6Ô(Ø,-Ô)Ü,0«FÔ)Ø-.Ô*ðàX¨DÕ1ócó¸t«}t|j«D] \}}|j|kr|j}d||dzt|j«dj |jDcgc]}|tjvs|c}«fz}    |j|j|||    dd|¬««¢dj |«dzScc}w)aGenerates signatures for all the sections in a PE file.
 
        If the section contains any data a signature will be created
        for it. The signature name will be a combination of the
        parameter 'name' and the section number and its name.
        z%s Section(%d/%d,%s)éÚFT)Úep_onlyÚsection_start_onlyÚ
sig_lengthú
)ÚlistÚ    enumerateÚsectionsÚ SizeOfRawDataÚPointerToRawDataÚlenÚjoinÚNameÚstringÚ    printableÚappendÚ&_SignatureDatabase__generate_signature)
rÚpeÚnamer Úsection_signaturesÚidxÚsectionÚoffsetÚcÚsig_names
          rÚgenerate_section_signaturesz-SignatureDatabase.generate_section_signaturesHsåô"VÐä% b§k¡kÓ2ò    LCà×$Ñ$ zÒ1Øð×-Ñ-Fà-ØØaÜBKKÓ Ø G§L¡LÖJq°A¼×9IÑ9IÒ4IÒJÓKð    1ñHð ×%Ñ%Ø×)Ñ)ØØØØ!Ø'+Ø)ð *óõ     ð    ð4yyÐ+Ó,¨tÑ3Ð3ùòKsÁ5CÂ Ccóx|j|jj«}|j|||d|¬«S)z°Generate signatures for the entry point of a PE file.
 
        Creates a signature whose name will be the parameter 'name'
        and the section number and its name.
        T)rr )Úget_offset_from_rvaÚOPTIONAL_HEADERÚAddressOfEntryPointr-)rr.r/r r3s     rÚgenerate_ep_signaturez'SignatureDatabase.generate_ep_signaturensCð×'Ñ'¨×(:Ñ(:×(NÑ(NÓOà×(Ñ(Ø d°zð)ó
ð    
rc    óÐ|j|||z}dj|Dcgc]}dt|«zc}«}    |dk(rd}nd}|dk(rd}nd}d|d|    d|d    |d
    }
|
Scc}w)Nú z%02xTÚtrueÚfalseú[z]
signature = z
ep_only = z
section_start_only = r!)Ú__data__r(Úord)rr.r3r/rrr rr4Úsignature_bytesÚ    signatures           rÚ__generate_signaturez&SignatureDatabase.__generate_signature{sð{{6 F¨ZÑ$7Ð8à((¸TÖ#B¸ F¬S°«V£OÒ#BÓCàd?ØGàGà Ò%Ø!'Ñà!(Ðøò ÚÚÚð    
    ðÐùò'$Cs¢A#có|j|||«}|r(|dk(r|Dcgc]}|d|ddfc}S|ddSycc}w)aMatches and returns the exact match(es).
 
        If ep_only is True the result will be a string with
        the packer name. Otherwise it will be a list of the
        form (file_offset, packer_name) specifying where
        in the file the signature was found.
        FrréÿÿÿÿN©Ú_SignatureDatabase__match)rr.rrÚmatchesÚmatchs      rrKzSignatureDatabase.matchs`ð,,r 7Ð,>Ó?ñ
Ø%Òð?FÖF°Uq 5¨¡8¨B¡<Ò0ÒFÐFà1:b>Ð!àùò    Gs?cóF|j|||«}|r|dk(r|S|dSy)z+Matches and returns all the likely matches.FrNrH)rr.rrrJs     rÚ    match_allzSignatureDatabase.match_all¯s6ð,,r 7Ð,>Ó?áØ%Òðà1:Ðàrcó@|dur=    |j}|j}|jDcgc]}|j}}ng|dur7    |j«}|j}|jj}    |    g}n,|j}|j}tt|««}g}
|D]:}|j|||||jz«}|s(|
j||f«<|dur|
r|
dS|
S#t$r}d}~wwxYwcc}w#t$r}d}~wwxYw)NTr)rAÚ    Exceptionrr$r&Úget_memory_mapped_imagerr9r:rÚranger'Ú(_SignatureDatabase__match_signature_treerr,) rr.rrrÚexcpÚ
signaturesr2Úscan_addressesÚeprJr1Úresults              rÚ__matchzSignatureDatabase.__match¿sJð Ñ%ð
 Ø{{ð×:Ñ:JðGIÇkÁkÖR¸7g×6Ó6ÐRNÑRà _ð
 Ø×1Ñ1Ó3ð×8Ñ8Jð
×#Ñ#×7Ñ7Bð!TNð;;Dà×9Ñ9Jä"¤3 t£9Ó-NðØ!ò    .CØ×0Ñ0ØD  s¨T¯^©^Ñ';Ð<óFòØ  V}Õ-ð    .ðd?ÙØqzÐ!àøôyò Øûð üòSøôò Øûð ús4C7¬D    ÁDÃ7    DÄDÄDÄ    DÄDÄDcóê|}dg}|dur |j}n|dur|j}g}|D]:}|j||||jz«}    |    s(|j    ||    f«<|dur|r|dS|S)NrT)rrrRrr,)
rÚ    code_datarrrrUrTrJr1rWs
          rÚ
match_datazSignatureDatabase.match_data
s¦àØð Ñ%ð×:Ñ:Jð
_ð×8Ñ8JðØ!ò    .CØ×0Ñ0ØD  s¨T¯^©^Ñ';Ð<óFòØ  V}Õ-ð    .ðd?ÙØqzÐ!àrc    ót«}|}t|Dcgc]}t|t«r|n
t    |«!c}«D]Ó\}}|nÌ|j|d«}    dt|j ««vrSt«}
t|j««D]}|d    |
j|d«|j|
«d|vrD|jdd«}||dzd} | r(|j|j|| ||zdz««|    }Õ|ndt|j ««vrSt«}
t|j««D]}|d    |
j|d«|j|
«|Scc}w)a
Recursive function to find matches along the signature tree.
 
        signature_tree  is the part of the tree left to walk
        data    is the data being checked against the signature tree
        depth   keeps track of how far we have gone down the tree
        Nrrz??)r"r#Ú
isinstanceÚintrBÚgetÚvaluesÚitemsr,ÚextendrR)rÚsignature_treerÚdepthÚ matched_namesrKÚbr1ÚbyteÚ
match_nextÚnamesÚitemÚmatch_tree_alternateÚdata_remainings              rÚ__match_signature_treez(SignatureDatabase.__match_signature_tree6sô Øô
#ÐQUÖ#VÈA¬°A´sÔ);¡AÄÀQÃÑ$GÒ#VÓWò+    ICð}Ùð 4¨Ó.JðtELLNÓ+Ñ+ôô! §¡£Ó/ò.DØAwØ T¨!¡WÕ-ð.ð×$Ñ$ UÔ+ð
u}Ø',§y¡y°°tÓ'<Ð$Ø!% c¨A¡g i Ù!Ø!×(Ñ(Ø×3Ñ3Ø0°.À#ÈÁ+ÐPQÁ/óôðEðW+    ð`Ð ¬¨e¯l©l«nÓ)=Ñ!=äFEÜU[[]Ó+ò *Ø7?ØLL  a¡Õ)ð *ð × Ñ  Ô'àÐùòq$Ws$F    có*|j||¬«y)znLoad a PEiD signature file.
 
        Invoking this method on different files combines the signatures.
        rN)rrs   rÚloadzSignatureDatabase.load~sð     X¨DÕ1rcó¤|tjj|«sA    tjj|«}|j «}|j«n0    t|d«}|j «}|j«n|}|syd}|jj|«}|D]v\}}}    }
}|
j«j«}
|jdd«j«}|j«Dcgc]
}||«} }|
dk(rd}
nd}
|dk(rd}nd}d}|dur"|j }|xj"d    z c_nG|
dur"|j$}|xj&d    z c_n!|j(}|xj*d    z c_t-| «D]c\}}|d    zt/| «k(r&|j1|t3««||<d|||<n|j1|t3««||<||}|d    z }e||j4kDsp||_yy#t$rwxYw#t$rwxYwcc}w)
NÚrtcó&d|vr|St|d«S)Nú?é)r^)Úvalues rÚto_bytez)SignatureDatabase.__load.<locals>.to_byte¨sØe|ØÜub>Ð!rz\nrr>TFrr)ÚosÚpathÚexistsÚurllibÚrequestÚurlopenÚreadÚcloseÚIOErrorÚopenrÚfindallÚstripÚlowerÚreplaceÚsplitrrrrrrr#r'r_r r)rrrÚsig_fÚsig_datarvrJÚpacker_namerDÚsuperfluous_wildcardsrrrfrCrdÚtreer1rgs                  rÚ__loadzSignatureDatabase.__loadsSàÐô77>> (Ô+ðÜ"NN×2Ñ2°8Ó<EØ$zz|HØKKMðÜ  ¨4Ó0EØ$zz|HØKKMð
Hñ
Øò    "ð..×(Ñ(¨Ó2ðó 6    'ñ 
ØØØ!ØØðmmo×+Ñ+Ó-Gà!×)Ñ)¨%°Ó4×:Ñ:Ó<Ià3<·?±?Ó3DÖE¨aw qzÐEOÐEà&Ò Øàà! VÒ+Ø%)Ñ"à%*Ð"àEà! TÑ)à×8Ñ8Ø×2Ò2°aÑ7Ö2ðd?Ø×:Ñ:DØ×4Ò4¸Ñ9Ö4à×;Ñ;DØ×5Ò5¸Ñ:Õ5ä& Ó7ò     Tà7c /Ó2Ò2à!%§¡¨$´³Ó!7DJØ.2DJ{Ò+ð"&§¡¨$´³Ó!7DJàDzØ
ð ðt~~Ô%Ø!&ñm6    'øôIòàðûôòàðüòLFs£?H1Á$,H?ÄI È1H<È?I
)NN)é)FFr)TF)r)Ú__name__Ú
__module__Ú__qualname__Ú__doc__rr6r;r-rKrMrIr[rRror©rrrrsMñó" 2óD$4óL
ðUXóó6ó2ò IóV*óXFóP2ôd'rrcóy)rNr)r.s rÚis_validrísàrcójd}d}t|d«r|jD]~}d}|jD]k}|j|jj
cxkr|jdzkrnnd}| ||jcxkr|dzkrnn|dz }|j}md}|j «}|r|y)zp
    unusual locations of import tables
    non recognized section names
    presence of long ASCII strings
    FrÚDIRECTORY_ENTRY_BASERELOCNéTr)ÚhasattrrÚentriesÚrvar9r:Úget_warnings)r.Úrelocations_overlap_entry_pointÚsequential_relocsÚ
base_relocÚlast_reloc_rvaÚrelocÚwarnings_while_parsingÚwarningss        rÚ is_suspiciousr¢òsËð',Ð#ØÐôrÐ.Ô/Ø×6Ñ6ò    +JØ!NØ#×+Ñ+ò
 +Ø99 × 2Ñ 2× FÑ FÔWÈ%Ï)É)ÐVWÉ-ÕWØ6:Ð3ð#Ð.Ø&¨%¯)©)ÔI°~ÈÑ7IÕIà%¨Ñ*Ð%à!&§¡ñ
 +ð    +ð&#ÐðÓ HÙÙð    rcóät|j««}|syd}d}|jD]6}|j«}t|j    ««}|dkDs2||z }8||zdkDrd}|S)a8Returns True is there is a high likelihood that a file is packed or contains compressed data.
 
    The sections of the PE file will be analyzed, if enough sections
    look like containing compressed data and the data makes
    up for more than 20% of the total file size, the function will
    return True.
    TFrg@gÉ?)r'Útrimr$Úget_entropyÚget_data)r.Útotal_pe_data_lengthÚ)has_significant_amount_of_compressed_dataÚtotal_compressed_datar2Ú    s_entropyÚs_lengths       rÚis_probably_packedr¬(sôrwwy>ÐáØØ05Ð-ð
ÐØ;;ò.Ø×'Ñ'Ó)    Üw×'Ñ'Ó)Ó*ðs?Ø! XÑ-Ñ!ð .ð    Ð 4Ñ4¸Ò;Ø48Ð1à4Ð4r)rrwr    r*Úurllib.requestrzÚurllib.parseÚurllib.errorÚpefileÚ
__author__Ú__version__Ú__contact__Úobjectrrr¢r¬rrrú<module>rµsRðñó
Û    Û ß1Ó1Û à 
Ø× Ñ Ø%ôV'ôV'òr    ò
3    ól!5r