PEStudio: So wird man einfach selbst zum Malware-Analysten

Sicherheit, Malware, Analyse, Binärcode, PEStudio Sicherheit, Malware, Analyse, Binärcode, PEStudio
Wenn man eine exe-Datei vorliegen hat und nicht sicher ist, ob diese vielleicht Malware enthält, kann man auf die Dienste des PEStudios zurückgreifen. Die schlanke Software bietet ein Stück weit die Informationen an, die auch richtige Malware-Analysten bei ihrer Arbeit verwenden. Unsere Kollegen von SemperVideo zeigen euch, welche Informationen ihr mit dem Tool aus dem Binär-Code extraieren könnt und welche Schlüsse sich daraus ziehen lassen.

pestudiopestudiopestudiopestudiopestudiopestudio



Download
PEStudio: exe-Dateien auf Risiken analysieren
Dieses Video empfehlen
Kommentieren5
Jetzt einen Kommentar schreiben
 
Setzt euch mal lieber mit Cuckoo, OllyDbg (und Konsorten) + IDA auseinander, wenn ihr es ernst meinen wollt. Man wird ganz sicher nicht zum Malware Analysten, wenn man PEStudio benutzt.
 
@ESmazter: ach lass die selbsternannten Experten doch machen.
Ein Tool und man ist der 1337-h4ck3r.
Das Tool fasst im Überblick ein paar Parameter schön zusammen, macht einen aber bestimmt nicht zum "Malware-Analysten". Mal wieder typisch Bild *hust* ich meinte WinFuture ^^
 
Das Tool ist was für den Profi, denn auch schon ein ganz normales "Hallo Welt"-Programm in C zeigt schon folgendes an: http://abload.de/img/hallowelt_pezap53.png

Und wenn das Programm mit UPX gepackt wurde, wird es auch nicht gleich verdächtig, denn jeder Virenscanner beherrscht UPX.

Für den normalen Nutzer empfiehlt es sich, dass man die Datei gleich bei virustotal.com hochläd, denn meistens kommen die Dateien gepackt daher und für PEStudio braucht man die entpackte EXE. Ich halte es für keine gute Idee eine verdächtige Datei auf einem Rechner zu entpacken, der produktiv genutzt wird.
 
@basti2k: http://camas.comodo.com/ ist übersichtlich und zeigt was die Datei so treibt.
Virustotal ist toll, aber basiert auf Heuristik und Definitionen.
https://valkyrie.comodo.com ist nicht übersichtlich, aber auch ein Online-Analysetool.
 
@otzepo: Wenn man Cuckoo selber nicht installieren möchte, dann kann man auch die Instanz bei malw benutzen btw:
https://malwr.com/
Kommentar abgeben Netiquette beachten!