シンプル・コンパクトながら強力な実行ファイルの解析ツール「PPEE」

「PPEE（puppy）」v1.11

　「PPEE（Professional PE file Explorer、puppy）」は、フットプリントの小ささ・シンプルな使い勝手・軽快な動作が魅力のPEバイナリビューワー。Windows XP/7/10に対応するフリーソフトで、本ソフトの公式サイトからダウンロードできる。なお、動作には「Microsoft Visual C++ 2010 再頒布可能パッケージ」が必要。

　Windowsの実行ファイル形式である“Portable Executable（PE）”バイナリの詳細を調べるためのビューワーアプリ。マルウェアの調査を行うセキュリティプロフェッショナル向けのツールだが、一般のユーザーにとっても便利な機能が多数搭載されている。インストール不要のポータブルアプリになっているので、USBメモリなどに忍ばせておけば役に立つこともあるだろう。

　メイン画面に実行（EXE）ファイルをドラッグ＆ドロップして開くと、画面左側にツリービューが、右側にリストビューが現れる。実行ファイルに含まれるヘッダーやディレクトリエントリ、マニフェストといった項目がツリービューに、ツリービューで選択した項目の詳細がリストビューに表示される仕組みだ。

　たとえば、ツリービューで［DOS Header］項目を選択すると、PEバイナリの先頭に必ず配置されている「MS-DOS」互換ヘッダーの内容を閲覧できる。PEバイナリでお決まりのマジックナンバー“MZ”が“e_magic”メンバーに記述されていることがわかるだろう。

「MS-DOS」互換ヘッダーの内容を閲覧

データによっては3ペイン表示になる

　少し興味深いのは［String in file］以下にある項目で、これらはバイナリの構造ではなく、中に含まれている文字列やURL、レジストリエントリなどを抽出する。これらを活用すれば、このバイナリが何を操作し、どこへアクセスしているのかがだいたいわかるというわけだ。また、“Suspicious（疑わしい）”文字列が含まれていないかチェックすることも可能。疑わしいデータがあれば、右クリックメニューからクリップボードへコピーしたり、“Google”や“MSDN”で調べることもできる。

中に含まれている文字列やURL、レジストリエントリなどを抽出

16進数エディター

　そのほかにも、本ソフトは16進数エディターを搭載。また、プラグインで機能を拡張することも可能で、初期状態で“FileInfo”と“YaraPlugin”という2つのプラグインが利用できる。“FileInfo”がファイルの概要を得るためのプラグインで、オンラインスキャナー“VirusTotal”でマルウェアが検出されていないかどうかを調べることも可能。一方、“YaraPlugin”はマルウェア解析・検知ツール「YARA」で利用されているルールを、現在読み込んでいる実行ファイルにかけることができる。

“FileInfo”プラグイン

“YaraPlugin”プラグイン