黑莓方面宣布推出一个新的开源工具“PE Tree”，旨在减少逆向工程恶意软件所需的时间和精力。该公司表示，PE Tree 使得逆向工程师可以使用 pefile 和 PyQt5 在树状视图中查看可移植可执行（Portable Executable，PE）文件，从而降低了从内存中转储和重建恶意软件的门槛，同时提供了社区可以建立的开源 PE 查看器代码库。

PE Tree 还与 HexRays 的IDA Pro 反编译器集成在一起，从而可以轻松导航 PE 结构，以及转储内存中的 PE 文件并执行导入重建， 在识别和阻止各种恶意软件方面至关重要。

该工具采用 Python 开发的，并支持Windows、Linux 和 Mac 操作系统。它可以作为独立应用程序或 IDAPython 插件安装和运行，从而使用户可以检查任何可执行的 Windows 文件并查看其组成。

图 1 独立应用程序

图 2 IDAPython 插件

使用 Ero Carrera 的 pefile 模块分析 PE 文件，然后再映射到树视图中。在那里，用户可以查看 headers 的摘要，包括 MZ header、DOS stub、Rich headers、数据目录等。

此外，左侧的“rainbow view”提供了 PE 文件结构的高级概述，并传达了每个区域的 offset/size/ratio。用户可以单击每个区域以跳至树状视图，或者单击鼠标右键以保存到文件或导出到 CyberChef。

黑莓研究运营副总裁埃里克·米拉姆（Eric Milam）称：“随着 *** 犯罪分子不断发展， *** 安全社区需要在其武器库中使用新工具来捍卫和保护组织和人员。现在市场上已有超过 10 亿个恶意软件，而且这个数字还在以每年 1 亿个以上的数量持续增长。因此我们创建了此解决方案，以帮助 *** 安全社区进行这场斗争。”

更多详细内容可查看官方博客：https://blogs.blackberry.com/en/2020/08/blackberry-open-source-pe-tree-tool-for-malware-reverse-engineers