pytropy

Pytropy ist ein kleines Skript, das mithilfe von gnuplot und pefile ein Diagramm erstellt, auf dem man ablesen kann, wie hoch die Entropie der einzelnen Sektionen einer PE-Datei ist. Das kann praktisch sein beim Bestimmen, ob Teile einer .exe komprimiert oder verschlüsselt wurden – dann ist der Entropiegehalt naturgemäß höher. Hier gibts einen Screenshot einer .exe die nicht gepackt ist. Verschiedene Sektionen sind sichtbar, deren Entropie nicht besonders hoch ist. Hier im Gegenzug die gleiche .exe, die mit UPX gepackt wurde. Die Sektionen wurden weniger und der Entropiegehalt ist sehr nahe am Maximum.