PEStudio es una herramienta única que realiza la investigación estática de ejecutables de 32 y 64 bits. El ejecutable malicioso a menudo intenta ocultar su comportamiento malicioso y evadir la detección. Al hacerlo, generalmente presenta anomalías y patrones sospechosos. El objetivo de PEStudio es detectar estas anomalías, proporcionar indicadores y calificar la confianza para el ejecutable que se analiza. Como el archivo ejecutable que se analiza nunca se inicia, puede inspeccionar cualquier ejecutable desconocido o malicioso sin riesgo.
caracteristicas:
Indicadores
PEStudio muestra los indicadores como un resultado amigable para la persona de la imagen analizada. Los indicadores se agrupan en categorías según su gravedad. Los indicadores muestran el potencial y las anomalías de la aplicación que se analiza. Las clasificaciones se basan en archivos XML proporcionados con PEStudio. Al editar el archivo XML, se pueden personalizar los indicadores que se muestran y su gravedad. Entre los indicadores, PEStudio muestra cuando una imagen se comprime usando UPX o MPRESS. PEStudio le ayuda a definir la confiabilidad de la aplicación que se analiza.
Detección de virus
PEStudio puede consultar los motores antivirus alojados por Virustotal para el archivo que se analiza. Esta característica solo envía el MD5 del archivo que se analiza. Esta función se puede ENCENDER o APAGAR usando un archivo XML incluido con PEStudio. PEStudio le ayuda a determinar qué tan sospechoso es el archivo que se analiza.
Importaciones
Incluso un archivo binario o de malware sospechoso debe interactuar con el sistema operativo para realizar su actividad. Para que esto sea posible, se debe utilizar una cierta cantidad de bibliotecas. PEStudio recupera las bibliotecas y las funciones utilizadas por la imagen. PEStudio también incluye un archivo XML que se utiliza para poner en una lista negra las funciones (por ejemplo, Registro, Proceso, Hilo, Archivo, ...). El archivo de la lista negra se puede personalizar y ampliar según sus propias necesidades. PEStudio muestra la intención y el propósito de la aplicación analizada.
Recursos
Los archivos ejecutables generalmente no solo contienen código sino también muchos tipos de tipos de datos. Las secciones de recursos se usan comúnmente para alojar diferentes elementos integrados de Windows (por ejemplo, iconos, cadenas, cuadros de diálogo, menús) y datos personalizados. PEStudio analiza los recursos del archivo que se analiza y detecta elementos incrustados (por ejemplo, EXE, DLL, SYS, PDF, CAB, ZIP, JAR, ...). Cualquier elemento puede seleccionarse por separado y guardarse en un archivo, lo que permite la posibilidad de un análisis posterior.
Y más...
Registro de cambios:
v9.04 (2020-04-07)
Agregar valores de hash mayúsculas y minúsculas del interruptor
Portable (917 KB):
- Código:
-
https://winitor.com/tools/pestudio/current/A03E0547-A4F7-44ec-97F6-533CEE423E55.zip
No hay medicamentos disponibles para la versión Pro.