Veröffentlicht von Marc Ochsenmeier am
1 Oct 2015
-
Dateigröße
0.88 MB -
Lizenz
Freeware -
OS
Windows -
Entwickler
Marc Ochsenmeier -
Aktualisiert am
1 Oct 2015 -
Downloads
471 (4 letzte Woche)
"Tool zur Einschätzung der Malware."
pestudio ist eine Anwendung, die eine Malware-Erstprüfung aller ausführbaren Dateien durchführt.Böswillige ausführbare Dateien versuchen, ihre böswilligen Absichten zu verbergen und sich der Erkennung zu entziehen. Dabei zeigt es im Allgemeinen Anomalien und verdächtige Muster. Das Ziel von Pestudio ist es, diese Anomalien zu erkennen, Indikatoren bereitzustellen und die zu analysierende ausführbare Datei zu bewerten. Da die zu analysierende ausführbare Datei niemals gestartet wird, können Sie unbekannte oder böswillige ausführbare Dateien ohne Risiko untersuchen.
Indikatoren
pestudio zeigt Indikatoren als menschenfreundliches Ergebnis des analysierten Bildes. Indikatoren werden nach ihrem Schweregrad in Kategorien eingeteilt. Indikatoren zeigen das Potenzial und die Anomalien der zu analysierenden Anwendung. Die Klassifikationen basieren auf XML-Dateien, die mit pestudio bereitgestellt werden. Durch Bearbeiten der XML-Datei können die angezeigten Indikatoren und deren Schweregrad angepasst werden. Unter den Indikatoren zeigt pestudio an, wann ein Bild mit UPX oder MPRESS komprimiert wird. Mit pestudio können Sie die Vertrauenswürdigkeit der zu analysierenden Anwendung bestimmen.
Viruserkennung
pestudio kann von Virustotal gehostete Antivirus-Engines nach der zu analysierenden Datei abfragen. Diese Funktion sendet nur das MD5 der zu analysierenden Datei. Diese Funktion kann mithilfe einer im Lieferumfang von pestudio enthaltenen XML-Datei ein- oder ausgeschaltet werden. Mit pestudio können Sie feststellen, wie verdächtig die zu analysierende Datei ist.
Importe
Auch eine verdächtige Binär- oder Malware-Datei muss mit dem Betriebssystem interagieren, um ihre Aktivität ausführen zu können. Damit dies möglich ist, muss eine bestimmte Anzahl von Bibliotheken verwendet werden. pestudio ruft die vom Bild verwendeten Bibliotheken und Funktionen ab. pestudio enthält auch eine XML-Datei, die zum Sperren von Funktionen verwendet wird (z. B. Registrierung, Prozess, Thread, Datei, ...). Die Blacklist-Datei kann nach Ihren Wünschen angepasst und erweitert werden. pestudio zeigt die Absicht und den Zweck der analysierten Anwendung.
Ressourcen
Ausführbare Dateien enthalten in der Regel nicht nur Code, sondern auch viele Arten von Datentypen. Ressourcenabschnitte werden häufig zum Hosten verschiedener in Windows integrierter Elemente (z. B. Symbole, Zeichenfolgen, Dialogfelder, Menüs) und benutzerdefinierter Daten verwendet. pestudio analysiert die Ressourcen der zu analysierenden Datei und erkennt eingebettete Elemente (z. B. EXE, DLL, SYS, PDF, CAB, ZIP, JAR, ...). Jedes Element kann separat ausgewählt und in einer Datei gespeichert werden, sodass eine weitere Analyse möglich ist.
Bericht
Das Ziel von Pestudio ist es, den Ermittlern die Analyse unbekannter und verdächtiger ausführbarer Dateien zu ermöglichen. Zu diesem Zweck kann pestudio auch eine XML-Ausgabeberichtdatei erstellen, in der die zu analysierende ausführbare Datei dokumentiert ist. Das Ziel dieser XML Output Report-Datei ist die Fähigkeit, von jedem Analysetool eines Drittanbieters verwendet zu werden. Um dieses Ziel besser zu erreichen, wird in Kürze ein XML-Schema veröffentlicht.
Prompt
Das Paket, das Sie herunterladen können, enthält nicht nur Pestudio, das als grafische Benutzeroberfläche (GUI) ausgeführt wird, sondern auch eine CLI-Version (Command Line Interface) von Pestudio. Wenn Sie pestudio in einem Eingabeaufforderungsmodus starten, können Sie ausführbare Dateien analysieren und die XML-Ausgabedatei in einem Stapelverarbeitungsmodus erstellen.
Schnittstelle
In Anbetracht der allgemeinen Softwarearchitektur ist pestudio ein Benutzer einer Reihe von privaten Schnittstellen, die von der darunter liegenden Ebene bereitgestellt werden. Die zugrunde liegende Ebene heißt PeParser. Dabei handelt es sich um die Engine, die das Parsen der analysierten ausführbaren Dateien durchführt. Dieser Parser wurde vollständig vom Autor entworfen und implementiert. Zum Parsen der ausführbaren Datei wird keine Bibliothek eines Drittanbieters oder eine Windows-Bibliothek verwendet. Was das Parsing betrifft, erfolgt diese Aufgabe auf RAW-Ebene, was den Vorteil hat, dass der Parser problemlos für die Ausführung auf anderen Betriebssystemen portiert werden kann. Der Parser bietet Zugriff auf alle Daten der zu überprüfenden Dateien sowie auf konsolidierte Informationen und Benachrichtigungen, die auch von anderen Produkten verwendet werden können. Zu diesem Zweck kann ein Software Development Kit (SDK) auf Lizenzbasis erworben werden.
Herunterladen PeStudio 8.51
(0.88 MB)
Antivirus-Informationen
Download3k heruntergeladen PeStudio am 1 Oct 2015 und überprüft es mit einigen der neuesten Antiviren-Engines. Hier ist der Scan-Bericht:
-
Avast:
Sauber -
Avira:
Sauber -
Kaspersky:
Sauber -
NOD32:
Sauber