28.01.2014, 17:43
Już jakiś czas temu widziałem na jednym z naszych rodzimych portali poświęconych oprogramowaniu, że numerki aplikacji PeStudio skaczą do góry, a sam program chyba ze względu na niszowe zastosowanie nie znalazł swojego miejsca na forum. Poza tym mamy teraz wielkie ruszenie i każdy chce dodać swoje 5 groszy do rozwoju for... A co tam, nieważne 
Chcę krótko zaprezentować aplikację PeStudio . Jest to darmowe narzędzie do statycznej analizyróżnego rodzaju plików (EXE, DLL, itp.) pod względem występowania złośliwego kodu. Program nie wymaga instalacji, a wynikiem jego działań są dość szczegółowe raporty dotyczące badanych plików.
Okno główne. Tutaj raczej nie ma na czym zawiesić oka, ale to w końcu nie film SF:
Nie znam się na programowaniu, ale biorąc pod uwagę zawartość archiwum stanowiące całość aplikacji PeStudio, to na chłopski rozum można wziąć fakt zdefiniowania przykładowo 56 poszczególnych, złośliwych ciągów znaków (z 566 rekordów zapisanych w blackliście) oraz 30 funkcji (API; z 1264 rekordów zapisanych w blackliście). Wyniki (jak uważa sam producent) są przedstawione w sposób przyjazny dla użytkownika - podzielone na kategorię wg "ważności" - od koloru czerwonego, przez pomarańczowy, zielony, do białego.
Tutaj fragment bazującej na XML''u klasyfikacji dostarczonej wraz z instalacją PeStudio:
Pliki programu wykorzystywane do analizy załadowanego kodu:
Raport z analizy może być stosunkowo obszerny, dlatego w programie wykorzystano możliwość filtrowania wyników. Same opcje filtrowania nie należą do wybitnie wysublimowanych, ale najwyraźniej wystarczają. Dodatkowo możliwe jest zapisanie raportu w postaci pliku XML.
Pierwszy przeanalizowany przeze mnie plik to aplikacja o skomplikowanej nazwie "1", która była pierwszą z brzegu w leciwej już paczce 2011-11-04-piotrex44 . Fajną sprawą jest integracja wyników z VirusTotal:
Pobrałem sobie też nowszą paczkę: 2014-01-28-tomatto007_456.7zżeby sprawdzić jak mają się aktualizacje z VT i faktycznie - wszystko się zgadza:
About PeStudio:
Changelog (7.99 - 8.04):
Version 8.04
. Added Feature detection of Regular Expressions (Regex)
. Added Feature detection of Service Control Manager (SCM)
Version 8.03
. Added "Anomalies" Indicators.
. Added detection of fake Microsoft executables
. Extended "Features"
Version 8.02
. Added PeStudioFeatures.xml
. Added "Features" as part of the "Indicators". Features translates the APIs, and other data into "Features" of the executable
being analysed (e.g. The API "FindFirstUrlCacheEntry()" is translated as "The image accesses the IE Protected Storage" Feature).
Version 8.01
. Extented PeStudioOrdinals.xml for LDAP by ordinals
. Added a Threshold for size of Custom Resources
. Extended PeStudioThresholds.xml
Version 8.00
. Fixed a crash when disabling VirusTotal query
. Show the Signature of the files Embedded in the Custom Resources
Version 7.99
. Added Min/Max Threshold checks on HTML Resource size and Extented PeStudioThresholds.xml
. Extented PeStudioIndicators.xml
. Extented PeStudioOrdinals.xml
PS
A dodam jeszcze, że jak pisałem pracę dyplomową, to kręciłem się troszkę z podobną aplikacją do statycznej analizy plików z poziomu wiersza poleceń -
Depending on how it is started, PeStudio runs as a Graphical User Interface GUI or a Command Line Interface CLI. Starting PeStudio in a prompt mode allows the analysis of executables and the creation of the XML output file in a batch mode mechanism
Informacje:
Chcę krótko zaprezentować aplikację PeStudio . Jest to darmowe narzędzie do statycznej analizyróżnego rodzaju plików (EXE, DLL, itp.) pod względem występowania złośliwego kodu. Program nie wymaga instalacji, a wynikiem jego działań są dość szczegółowe raporty dotyczące badanych plików.
Okno główne. Tutaj raczej nie ma na czym zawiesić oka, ale to w końcu nie film SF:
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie znam się na programowaniu, ale biorąc pod uwagę zawartość archiwum stanowiące całość aplikacji PeStudio, to na chłopski rozum można wziąć fakt zdefiniowania przykładowo 56 poszczególnych, złośliwych ciągów znaków (z 566 rekordów zapisanych w blackliście) oraz 30 funkcji (API; z 1264 rekordów zapisanych w blackliście). Wyniki (jak uważa sam producent) są przedstawione w sposób przyjazny dla użytkownika - podzielone na kategorię wg "ważności" - od koloru czerwonego, przez pomarańczowy, zielony, do białego.
[Aby zobaczyć linki, zarejestruj się tutaj]
Tutaj fragment bazującej na XML''u klasyfikacji dostarczonej wraz z instalacją PeStudio:
[Aby zobaczyć linki, zarejestruj się tutaj]
Pliki programu wykorzystywane do analizy załadowanego kodu:
[Aby zobaczyć linki, zarejestruj się tutaj]
Raport z analizy może być stosunkowo obszerny, dlatego w programie wykorzystano możliwość filtrowania wyników. Same opcje filtrowania nie należą do wybitnie wysublimowanych, ale najwyraźniej wystarczają. Dodatkowo możliwe jest zapisanie raportu w postaci pliku XML.
[Aby zobaczyć linki, zarejestruj się tutaj]
Pierwszy przeanalizowany przeze mnie plik to aplikacja o skomplikowanej nazwie "1", która była pierwszą z brzegu w leciwej już paczce 2011-11-04-piotrex44 . Fajną sprawą jest integracja wyników z VirusTotal:
[Aby zobaczyć linki, zarejestruj się tutaj]
Pobrałem sobie też nowszą paczkę: 2014-01-28-tomatto007_456.7zżeby sprawdzić jak mają się aktualizacje z VT i faktycznie - wszystko się zgadza:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
About PeStudio:
[Aby zobaczyć linki, zarejestruj się tutaj]
Changelog (7.99 - 8.04):
Version 8.04
. Added Feature detection of Regular Expressions (Regex)
. Added Feature detection of Service Control Manager (SCM)
Version 8.03
. Added "Anomalies" Indicators.
. Added detection of fake Microsoft executables
. Extended "Features"
Version 8.02
. Added PeStudioFeatures.xml
. Added "Features" as part of the "Indicators". Features translates the APIs, and other data into "Features" of the executable
being analysed (e.g. The API "FindFirstUrlCacheEntry()" is translated as "The image accesses the IE Protected Storage" Feature).
Version 8.01
. Extented PeStudioOrdinals.xml for LDAP by ordinals
. Added a Threshold for size of Custom Resources
. Extended PeStudioThresholds.xml
Version 8.00
. Fixed a crash when disabling VirusTotal query
. Show the Signature of the files Embedded in the Custom Resources
Version 7.99
. Added Min/Max Threshold checks on HTML Resource size and Extented PeStudioThresholds.xml
. Extented PeStudioIndicators.xml
. Extented PeStudioOrdinals.xml
PS
A dodam jeszcze, że jak pisałem pracę dyplomową, to kręciłem się troszkę z podobną aplikacją do statycznej analizy plików z poziomu wiersza poleceń -
[Aby zobaczyć linki, zarejestruj się tutaj]
. Z tego co pamiętam, to Strings jest mniej intuicyjny dla osób szukających złośliwych obiektów w kodzie, ale też jak sama nazwa wskazuje - ogranicza się do pewnego rodzaju poszukiwania. Swoją drogą PeStudio również umożliwia analizę plików bez wykorzystywania graficznego interfejsu:Depending on how it is started, PeStudio runs as a Graphical User Interface GUI or a Command Line Interface CLI. Starting PeStudio in a prompt mode allows the analysis of executables and the creation of the XML output file in a batch mode mechanism
Informacje:
[Aby zobaczyć linki, zarejestruj się tutaj]
Pobieranie:[Aby zobaczyć linki, zarejestruj się tutaj]
SpyShelter Firewall
