PEStudio es una herramienta única que realiza la investigación estática de 32 bits y 64 bits ejecutable. El ejecutable malintencionado a menudo intenta ocultar su comportamiento malicioso y evadir la detección. Al hacerlo, generalmente presenta anomalías y patrones sospechosos. El objetivo de PEStudio es detectar estas anomalías, proporcionar indicadores y anotar la confianza para el ejecutable que se está analizando. Dado que el archivo ejecutable que se analiza nunca se inicia, puede inspeccionar cualquier ejecutable desconocido o malintencionado sin ningún riesgo.
caracteristicas:
Indicadores
PEStudio muestra los Indicadores como un resultado humano-amistoso de la imagen analizada. Los indicadores se agrupan en categorías según su gravedad. Los indicadores muestran el potencial y las anomalías de la aplicación que se está analizando. Las clasificaciones se basan en archivos XML proporcionados con PEStudio. Mediante la edición del archivo XML, se puede personalizar los indicadores mostrados y su gravedad. Entre los indicadores, PEStudio muestra cuando una imagen se comprime con UPX o MPRESS. PEStudio le ayuda a definir la confiabilidad de la aplicación que se analiza.
Detección de virus
PEStudio puede consultar los motores antivirus alojados por Virustotal para el archivo que se está analizando. Esta función sólo envía el MD5 del archivo que se está analizando. Esta función se puede activar o desactivar mediante un archivo XML incluido con PEStudio. PEStudio le ayuda a determinar qué tan sospechoso es el archivo que se analiza.
Importacion
Incluso un archivo binario o malware sospechosos debe interactuar con el sistema operativo para poder realizar su actividad. Para que esto sea posible, se debe usar una cierta cantidad de bibliotecas. PEStudio recupera las bibliotecas y las funciones utilizadas por la imagen. PEStudio también incluye un archivo XML que se utiliza para las funciones de lista negra (por ejemplo, Registro, Proceso, Hilo, Archivo, ...). El archivo de lista negra se puede personalizar y ampliar de acuerdo a sus propias necesidades. PEStudio muestra la intención y el propósito de la aplicación analizada.
Recursos
Los archivos ejecutables típicamente no sólo contienen código sino también muchos tipos de tipos de datos. Las secciones de recursos se utilizan comúnmente para alojar diferentes elementos integrados de Windows (por ejemplo, iconos, cadenas, diálogos, menús) y datos personalizados. PEStudio analiza los recursos del archivo que se analiza y detecta elementos incrustados (por ejemplo, EXE, DLL, SYS, PDF, CAB, ZIP, JAR, ...). Cualquier elemento puede seleccionarse por separado y guardarse en un archivo, lo que permite la posibilidad de análisis adicionales.
Y más...
Registro de cambios:
v8.67 (2017-10-08):
Las cadenas de mapa "indican" a su nombre humano-amistoso
v8.66 (2017-10-01):
Arreglar un error al calcular la posición del punto de entrada cuando se encuentra al principio de una sección
Añadir la detección de cadenas "pista" (por ejemplo, GUID, RTTI, ..)
v8.65 (2017-09-23):
Calcular el Sha256 de la imagen y la superposición
Ampliar y consolidar los indicadores
Corregir un error al manejar un tipo de depuración
DOWNLOAD:
===========
Portable (946 KB):
- Código:
-
https://www.winitor.com/tools/pestudio/current/pestudio.zip