pestudio 的目标是发现可执行文件的工件,以简化和加速恶意软件初始评估。该工具被全球计算机应急响应小组 (CERT)、安全运营中心 (SOC) 和数字取证实验室使用。
病毒检测
PeStudio 可以查询 Virustotal 托管的防病毒引擎以查找正在分析的文件。此功能仅发送正在分析的文件的 MD5。此功能可以使用 PeStudio 随附的 XML 文件打开或关闭。PeStudio 可帮助您确定正在分析的文件的可疑程度。
导入
即使是可疑的二进制文件或恶意软件文件也必须与操作系统交互才能执行其活动。为此,必须使用一定数量的库。PeStudio 检索映像使用的库和函数。PeStudio 还包括一个 XML 文件,用于将功能(例如注册表、进程、Thead、文件等)列入黑名单。黑名单文件可以根据自己的需要进行自定义和扩展。PeStudio 显示了所分析应用程序的意图和目的。
资源
可执行文件通常不仅包含代码,还包含多种数据类型。资源部分通常用于托管不同的 Windows 内置项目(例如图标、字符串、对话框、菜单)和自定义数据。PeStudio 分析被分析文件的资源并检测嵌入项目(例如 .EXE、DLL、SYS、PDF、CAB、ZIP、JAR 等)。任何项目都可以单独选择并保存到文件中,从而可以进行进一步分析。
证书
PeStudio 还能够检测并继续进行对图像中嵌入的数字证书(如果可用)的 RAW 处理。与证书的交互不使用任何 Windows API。使用 PeStudio,您甚至可以将证书的内容转储到文件中。
0 条