PeStudio - это бесплатный инструмент, который позволяет выполнять статическое исследование любого исполняемого двоичного файла Windows.
Файл, анализируемый с помощью PeStudio, никогда не запускается, поэтому вы можете без риска оценить неизвестный исполняемый файл и даже вредоносное ПО.
PeStudio работает на любой платформе Windows и полностью портативен, установка не требуется. Это не меняет систему и ничего не оставляет позади.
Он используется многими группами реагирования на компьютерные чрезвычайные ситуации (CERT) по всему миру для выполнения первоначальной оценки вредоносных программ.
Вредоносное ПО часто пытается скрыть свои намерения, чтобы избежать раннего обнаружения и статического анализа. При этом он часто оставляет подозрительные шаблоны, неожиданные метаданные, аномалии и другие индикаторы.
Цель PeStudio - обнаружить эти артефакты, чтобы упростить и ускорить начальную оценку вредоносного ПО. Инструмент использует мощный синтаксический анализатор и гибкий набор файлов конфигурации, которые используются для обнаружения различных типов индикаторов и определения пороговых значений. Поскольку анализируемый файл никогда не запускается, вы можете проверять неизвестный или вредоносный исполняемый файл, трояны и программы-вымогатели без какого-либо риска заражения.
Особенности
PeStudio реализует богатый набор функций, специально разработанных для извлечения каждой детали исполняемого файла. Результаты проверяются по спецификации Microsoft. Кроме того, содержимое анализируемого файла проверяется по нескольким белым и черным спискам и пороговым значениям.
Обнаружение вирусов: PeStudio может запрашивать антивирусные механизмы, размещенные на Virustotal. Отправляется только MD5 анализируемого файла. Эта функция может быть включена или выключена с помощью файла XML, включенного в PeStudio.
Импорт: даже подозрительный двоичный файл должен взаимодействовать с операционной системой для выполнения своей деятельности. PeStudio получает библиотеки и упомянутые функции. Несколько файлов XML используются для внесения в черный список функций (например, реестра, процесса, потока, файла и т. Д.). Файлы черного списка можно настроить и расширить в соответствии с вашими потребностями. PeStudio выявляет намерение и цель анализируемого приложения.
Ресурсы: разделы ресурсов обычно используются вредоносными программами для размещения полезной нагрузки. PeStudio обнаруживает многие встроенные типы файлов (например, EXE, DLL, SYS, PDF, CAB, ZIP, JAR и т. Д.). Обнаруженные элементы могут быть сохранены в файл, что дает возможность дальнейшего анализа.
Отчет: Цель PeStudio - позволить исследователям анализировать неизвестные и подозрительные исполняемые файлы. Для этой цели PeStudio может также создать выходной файл отчета XML, документирующий анализируемый исполняемый файл. Цель этого выходного XML-файла отчета - предложить его дальнейшее использование любым сторонним инструментом анализа.
Подсказка: PeStudio запускается из графического интерфейса пользователя (GUI), а также из командной строки (CLI). Запуск PeStudio из командной строки дает возможность анализировать исполняемый файл и создавать связанные выходные файлы XML в пакетном режиме.
