PEStudio es una herramienta única que realiza la investigación estática de ejecutables de 32 y 64 bits. El ejecutable malicioso a menudo intenta ocultar su comportamiento malicioso y evadir la detección. Al hacerlo, generalmente presenta anomalías y patrones sospechosos. El objetivo de PEStudio es detectar estas anomalías, proporcionar indicadores y calificar la confianza para el ejecutable que se analiza. Dado que el archivo ejecutable que se analiza nunca se inicia, puede inspeccionar cualquier ejecutable desconocido o malicioso sin riesgo.
Características:Indicadores
PEStudio muestra los indicadores como un resultado amigable para los humanos de la imagen analizada. Los indicadores se agrupan en categorías según su gravedad. Los indicadores muestran el potencial y las anomalías de la aplicación que se analiza. Las clasificaciones se basan en archivos XML proporcionados con PEStudio. Al editar el archivo XML, se pueden personalizar los indicadores que se muestran y su gravedad. Entre los indicadores, PEStudio muestra cuando una imagen está comprimida usando UPX o MPRESS. PEStudio le ayuda a definir la confiabilidad de la aplicación que se analiza.
Detección de virus
PEStudio puede consultar motores antivirus alojados por Virustotal para el archivo que se está analizando. Esta función solo envía el MD5 del archivo que se está analizando. Esta función se puede activar o desactivar mediante un archivo XML incluido con PEStudio. PEStudio lo ayuda a determinar qué tan sospechoso es el archivo que se está analizando.
Importaciones
Incluso un archivo binario o de malware sospechoso debe interactuar con el sistema operativo para realizar su actividad. Para que esto sea posible, se debe utilizar una cierta cantidad de bibliotecas. PEStudio recupera las bibliotecas y las funciones utilizadas por la imagen. PEStudio también incluye un archivo XML que se usa para incluir funciones en la lista negra (por ejemplo, Registro, Proceso, Subproceso, Archivo, ...). El archivo de la lista negra se puede personalizar y ampliar según sus propias necesidades. PEStudio muestra la intención y el propósito de la aplicación analizada.
RecursosLos archivos ejecutables normalmente no solo contienen código, sino también muchos tipos de tipos de datos. Las secciones de recursos se usan comúnmente para alojar diferentes elementos integrados de Windows (por ejemplo, iconos, cadenas, cuadros de diálogo, menús) y datos personalizados. PEStudio analiza los recursos del archivo que se está analizando y detecta elementos incrustados (por ejemplo, EXE, DLL, SYS, PDF, CAB, ZIP, JAR, ...). Cualquier elemento se puede seleccionar por separado y guardar en un archivo, lo que permite la posibilidad de un análisis más detallado.
Versión 9.30. Manejar cadenas .NET ascii (#Strings)
. Ampliar la detección de archivos incrustados (por ejemplo, MS-Compress)
. Extender indicadores
. Corregir errores
Home: https://www.winitor.com/
Changelog: https://www.winitor.com/tools/pestudio/changes.log
Download:
- Código:
-
https://www.winitor.com/tools/pestudio/current/pestudio.zip