pestudio 的目標(biāo)是發(fā)現(xiàn)可執(zhí)行文件的工件，以簡(jiǎn)化和加速惡意軟件初始評(píng)估。該工具被全球計(jì)算機(jī)應(yīng)急響應(yīng)小組 （CERT）、安全運(yùn)營(yíng)中心 （SOC） 和數(shù)字取證實(shí)驗(yàn)室使用。

軟件特色

病毒檢測(cè)

PeStudio 可以查詢 Virustotal 托管的防病毒引擎以查找正在分析的文件。此功能僅發(fā)送正在分析的文件的 MD5。此功能可以使用 PeStudio 隨附的 XML 文件打開或關(guān)閉。PeStudio 可幫助您確定正在分析的文件的可疑程度。

導(dǎo)入

即使是可疑的二進(jìn)制文件或惡意軟件文件也必須與操作系統(tǒng)交互才能執(zhí)行其活動(dòng)。為此，必須使用一定數(shù)量的庫(kù)。PeStudio 檢索映像使用的庫(kù)和函數(shù)。PeStudio 還包括一個(gè) XML 文件，用于將功能(例如注冊(cè)表、進(jìn)程、Thead、文件等)列入黑名單。黑名單文件可以根據(jù)自己的需要進(jìn)行自定義和擴(kuò)展。PeStudio 顯示了所分析應(yīng)用程序的意圖和目的。

資源

可執(zhí)行文件通常不僅包含代碼，還包含多種數(shù)據(jù)類型。資源部分通常用于托管不同的 Windows 內(nèi)置項(xiàng)目(例如圖標(biāo)、字符串、對(duì)話框、菜單)和自定義數(shù)據(jù)。PeStudio 分析被分析文件的資源并檢測(cè)嵌入項(xiàng)目(例如 .EXE、DLL、SYS、PDF、CAB、ZIP、JAR 等)。任何項(xiàng)目都可以單獨(dú)選擇并保存到文件中，從而可以進(jìn)行進(jìn)一步分析。

證書

PeStudio 還能夠檢測(cè)并繼續(xù)進(jìn)行對(duì)圖像中嵌入的數(shù)字證書(如果可用)的 RAW 處理。與證書的交互不使用任何 Windows API。使用 PeStudio，您甚至可以將證書的內(nèi)容轉(zhuǎn)儲(chǔ)到文件中。