已经有一个现成的工具可以扫描另一个 PE 中的嵌入式 PE。下载Exeinfo PE并使用 ripper 选项。它将自动扫描和转储主文件中的任何嵌入 PE。

但是，显然，不应以任何方式压缩或加密嵌入式 PE。

pe-carv.py 脚本可用于从数据流中提取可移植的可执行文件。

http://hooked-on-mnemonics.blogspot.com/2013/01/pe-carvpy.html

它依靠 Ero Carrera 的 pefile 来解析可移植的可执行文件格式并计算文件大小。由于脚本依赖于可移植的可执行文件格式，因此附加到文件末尾（覆盖）的数据将不会被雕刻出来。

脚本的算法很简单。在数据流中搜索MZ头的字符串，如果发现从地址读取到文件末尾，则将缓冲区传递给pefile。如果 pefile 没有抛出异常，那么我们就有了一个有效的可移植可执行文件。如果发生错误，请搜索下一个 MZ 标头，然后重新开始该过程。