PEfile

一个流行的、长期代表性的PE文件分析库被称为pefile。这个模块提供了对可移植可执行文件结构的简单访问。

另一个最近的、更加通用的跨平台库称为library来测试可执行格式(LIEF)，它包含一个用于PE文件分析的Python模块(在这里有文档说明)。

使用方法

打印基本PE信息

import pefile

pe = pefile.PE(“malware.exe”)

print(pe)

打印入口点

peEntryPoint = hex(pe.OPTIONAL_HEADER.AddressOfEntryPoint)

打印节表

基本代码：pe.sections

for section in pe.sections:

print(section)

获取节表某个具体数据：hex(pe.sections[0].Characteristics)