Estoy analizando un ejecutable de windows.(C:\Windows\System32\xcopy.exe). El valor de Imphash calculado con Python es diferente al que se muestra con PE Studio. ¿Cómo puede ser diferente Imphash para un mismo archivo cuando se calcula con dos herramientas diferentes?
¿Qué falta aquí?
Imphash Python:1effe65a4f251e4ae9fa8551f9fcdabb
Imphash PeStudio:370E0F2A87317776FEB42A7B32DD037B
Respuesta1
En los sistemas de 64 bits, la ruta C:\Windows\System32está virtualizada: los procesos de 64 bits pueden acceder a ella directamente, pero los procesos de 32 bits se redirigen mágicamente C:\Windows\SysWow64.
Su herramienta "pestudio" es de 32 bits, por lo que en realidad ve la versión de 32 bits de xcopy.exe en lugar de la de 64 bits.
Python 3.9.4 [MSC v.1928 64 bit (AMD64)]
>>> pefile.PE(r"C:\Windows\System32\xcopy.exe").get_imphash()
'1effe65a4f251e4ae9fa8551f9fcdabb'
>>> pefile.PE(r"C:\Windows\SysWow64\xcopy.exe").get_imphash()
'370e0f2a87317776feb42a7b32dd037b'