PEStudio是一个独特的工具,可以对32位和64位可执行文件进行静态调查,恶意可执行文件经常试图隐藏其恶意行为并逃避检测。在这样做时,它通常会呈现异常和可疑模式。PEStudio 的目标是检测这些异常,提供指标并对正在分析的可执行文件的信任度进行评分。由于被分析的可执行文件从未启动,因此您可以毫无风险地检查任何未知或恶意的可执行文件。
特点
指标
PEStudio 将指标显示为分析图像的人性化结果。指标根据其严重程度分为几类。指标显示正在分析的应用程序的潜力和异常情况。分类基于 PEStudio 提供的 XML 文件。通过编辑 XML 文件,可以自定义显示的指标及其严重性。在这些指标中,PEStudio 会显示图像何时使用 UPX 或 MPRESS 进行压缩。PEStudio 帮助您定义正在分析的应用程序的可信度。
病毒检测
PEStudio 可以查询 Virustotal 托管的防病毒引擎以获取正在分析的文件。此功能仅发送正在分析的文件的 MD5。可以使用 PEStudio 附带的 XML 文件打开或关闭此功能。PEStudio 帮助您确定正在分析的文件的可疑程度。
进口
即使是可疑的二进制文件或恶意软件文件也必须与操作系统交互才能执行其活动。为此,必须使用一定数量的库。PEStudio 检索图像使用的库和函数。PEStudio 还包括一个用于将函数列入黑名单的 XML 文件(例如 Registry、ProCEss、Thread、File,...)。黑名单文件可以根据自己的需要进行定制和扩展。PEStudio 显示分析的应用程序的意图和目的。
资源
可执行文件通常不仅包含代码,还包含多种数据类型。资源部分通常用于承载不同的 Windows 内置项目(例如图标、字符串、对话框、菜单)和自定义数据。PEStudio 分析正在分析的文件的资源并检测嵌入的项目(例如 EXE、DLL、SYS、PDF、CAB、ZIP、JAR,...)。任何项目都可以单独选择并保存到文件中,从而可以进行进一步分析。
更新内容
。检测欺骗和上钩的进口
。检测丢失的导入名称表 (INT)
。检测重复的库
。扩展 .net 检测
。扩展指标
。修复目录有效性检查