Obtendo informações sobre os executáveis ​​do Windows em um sistema Linux

Eu tenho um monte de executáveis ​​do Windows com nomes ilegíveis em um sistema Linux. Qual é o método mais conveniente para examinar esses arquivos e ter uma idéia do que são?

Atualmente, a única coisa que tenho são os nomes de arquivos. Acho que pelo menos deveríamos conseguir extrair alguns metadados, cabeçalhos, cadeias de caracteres do programa, etc. Um analisador EXE será útil.

Soluções como copiá-las para um sistema Windows não são aceitáveis. Idealmente, existem métodos que não exigem a instalação de outro sistema, mesmo em uma máquina virtual ou no wine.

Você pode tentar ExifTool, que apesar do nome, lida com mais do que apenas arquivos de imagem.

É empacotado como libimage-exiftool-perlno Debian / Ubuntu e perl-Image-ExifToolno RHEL / CentOS / Fedora.

Exemplo de saída:

ExifTool Version Number         : 10.10
File Name                       : explorer.exe
Directory                       : .
File Size                       : 4.5 MB
File Modification Date/Time     : 2016:12:21 17:37:33-08:00
File Access Date/Time           : 2016:12:21 17:37:33-08:00
File Inode Change Date/Time     : 2016:12:21 17:37:52-08:00
File Permissions                : rwx------
File Type                       : Win64 EXE
File Type Extension             : exe
MIME Type                       : application/octet-stream
Machine Type                    : AMD AMD64
Time Stamp                      : 2016:11:11 01:08:32-08:00
PE Type                         : PE32+
Linker Version                  : 14.0
Code Size                       : 1736704
Initialized Data Size           : 2902528
Uninitialized Data Size         : 512
Entry Point                     : 0x9edc0
OS Version                      : 10.0
Image Version                   : 10.0
Subsystem Version               : 10.0
Subsystem                       : Windows GUI
File Version Number             : 10.0.14393.479
Product Version Number          : 10.0.14393.479
File Flags Mask                 : 0x003f
File Flags                      : (none)
File OS                         : Windows NT 32-bit
Object File Type                : Executable application
File Subtype                    : 0
Language Code                   : English (U.S.)
Character Set                   : Unicode
Company Name                    : Microsoft Corporation
File Description                : Windows Explorer
File Version                    : 10.0.14393.479 (rs1_release.161110-2025)
Internal Name                   : explorer
Legal Copyright                 : © Microsoft Corporation. All rights reserved.
Original File Name              : EXPLORER.EXE
Product Name                    : Microsoft® Windows® Operating System
Product Version                 : 10.0.14393.479
Warning                         : Possibly corrupt Version resource

1) Dependendo de como os nomes estão distorcidos, pode ser possível desmembrá-los, mas você deve dar alguns exemplos de como eles se parecem.

2) objdump -xetc. podem despejar os cabeçalhos, importações, exportações no formato PE .

3) stringspode procurar por seqüências ASCII (8 bits) em todos os tipos de arquivos.

4) hexdump -Cmostrará um hexdump junto com a interpretação ASCII.

5) fileinformará o tipo de arquivo, incluindo muitos tipos de janelas, se não for um executável.

6) bievtambém pode analisar os formatos Windows EXE.