Analysera misstänkta Windows körbara filer med PeStudio

0
260

Om du installerar och kör nya programvara regelbundet på ditt Windows-system, du kan ha kommit åt program som du har en dålig känsla om.

Kanske för att du har laddat ner dem från en plats du kan lita på, kanske för att det är en ny app som har inte granskats var som helst men ändå, eller kanske på grund av vad den är tänkt att göra.

Du kan skanna den körbara filen lokalt då och på platser som VirusTotal att ta reda på om det innehåller skadlig kod.

Ibland, du får två, tre eller fyra träffar på VirusTotal medan resterande antivirus motor rapportera att filen är ren.

Om inte större motorer rapporterar träffar, det är oftast falskt positiva men skulle du riskerar att installera skadlig kod som bygger på det?

Du kan köra programmet i en sandlåda så att det inte kommer att påverka det underliggande systemet oavsett vad. Ett annat alternativ är att analysera det med hjälp av den fria PeStudio program.

pestudio analysis

PeStudio är en gratis bärbar program för Windows som du kan använda för att analysera körbara filer på olika sätt. Det var utformade för att avslöja misstänkta mönster, indikatorer och anomalier som ger dig ytterligare insikt om programmets huvudsakliga syfte och oavsett om det är skadligt eller inte.

Allt du behöver göra är att dra en körbar fil på program-fönstret efter att du har startat upp det för att starta analysen.

En av de första saker PeStudio inte är fråga VirusTotal att rapportera träffar. Det är dock bara en av de saker man gör och du kommer att märka att det visar mer än två dussin kontroller som den utför.

Varje kontroll är färgkodade så att du vet vid första anblicken vad du bör kontrollera att börja med. Grönt indikerar inga problem, orange något som du bör titta på och red de mest angelägna resultat som du bör undersöka först.

Ett klick på strängar kan till exempel avslöja kommandon, till exempel manipulering av Registret, som används av program eller en modul namn som kan avslöja information om dess funktion.

Annan information som det finns bland annat importerade bibliotek och symboler, fil och DOS header, liksom certifikat och information om resursen.

De indikatorer lista som kan vara av betydelse eftersom den innehåller viktig information som upptäckts under genomsökningen högst upp. Där kan du hitta information om programmets funktioner (t ex åtkomst till bibliotek vid körning, skapar eller ändrar filer) som kan vara mycket användbar i din analys.

Det bör här noteras att PeStudio finner indikatorer och som röd eller orange färg koder behöver inte betyda att något skumt är i görningen.

PeStudio kommer som ett grafiskt användar-gränssnitt, men också som ett kommando på-version som du kan köra direkt från den.

Dom

PeStudio är en användbar hjälpprogram för Windows-användare som vill analysera körbara filer innan de kör dem på deras system. Integrationen av VirusTotal är utmärkt och den återstående alternativ som det ger kan ge dig värdefulla ledtrådar om ett program som potentiellt kan vara skadlig i naturen. (via Betanews)