PEStudio
Binärcode untersuchen
Das Tool analysiert dafür den Binärcode einer exe-Datei und kann aufzeigen, welche Funktionalität sich in dieser verbirgt. Dafür muss der fragliche Code nicht gestartet werden, sodass ein mögliches Risiko gering gehalten wird. Um dem Anwender eine Einschätzung zu geben, was er sich da auf seinen Rechner geholt hat, wird ein recht umfangreicher Überblick geboten - inklusive einiger Hilfestellungen.Die einfachste Form der Malware-Erkennung bietet dabei ein Abgleich der Datei mit VirusTotal, bei der gleich zahlreiche Scanner verschiedener Hersteller auf Malware-Suche gehen. Gibt es hier keine Warnungen, ist ein schädliches Verhalten der Software aber nicht ausgeschlossen. Daher gibt PEStudio auch einen Überblick, welche Netzwerkdienste die Software beispielsweise aufrufen kann. Gehören diese eigentlich gar nicht zum offensichtlichen Funktionsumfang einer Software, ist Vorsicht geboten.
Weiterhin wird dem Nutzer gezeigt, mit welchen Komponenten des Betriebssystems die zu untersuchende Software interagieren möchte. Auch das kann Hinweise auf eingebettet Malware geben. Gleiches gilt für die Strings, die in dem Binärcode gefunden werden können. Von Vorteil für den User ist es außerdem, dass PEStudio ohne komplette Installation auskommt. Nach dem Entpacken des Download-Archivs kann die Software direkt gestartet werden und nistet sich somit nicht im System ein.
Fazit
PEStudio ist ein gutes Werkzeug für den Nutzer, der sich nicht allein auf seinen Virenscanner verlassen will, zumindest Grundkenntnisse über die Arbeitsweise seines Rechners und der darauf installierten Software hat, aber noch längst nicht an die Profi-Kenntnisse eines echten Malware-Analysten herankommt.
pestudio
