Gastbeitrag: Virenschutz über PEStudio

Downloadlink: https://www.winitor.com/

Vom Experten, für Experten – das könnte der Slogan für PEStudio sein. Denn Marc Ochsenmeier ist ein renommierter Malware-Analyst, der dieses Tool selbst entwickelt hat.

PEStudio analysiert ausführbare 32bit- und 64bit-Programm unter Windows, die sich am PE-Formt (Portable Executable) orientieren. Dazu zählen neben den klassischen .EXE-Dateien auch .DLL, .SCR, .SYS und andere Dateien.
PEStudio ist als Free-Version erhältlich aber auch als Kauf-Version, mit zusätzlichen Funktionen.  Worin sich die Versionen unterschieden, ist auf der Webseite aufgelistet. Ein Blick auf die Webseite ist ohnehin periodisch zu empfehlen, denn Marc Ochsenmeier entwickelt sein Tool ständig weiter und ergänzt beinahe wöchentlich neue Funktionen.

PEStudio ist KEIN Virenscanner, zapft aber bei der Analyse einer PE-Datei die Internet-Analysesoftware VirusTotal an, um dort abzufragen, ob die PE-Datei bereits als Malware durch einen Virenscanner identifiziert wurde. Dies geschieht erfreulicherweise über einen Hash-Wert, denn PEStudio führt zu keinem Zeitpunkt (!) die zu analysierende Datei aus oder senden diese an andere Empfänger. Falls es sich also bei der Datei um eine Malware handeln sollte, ist keine Infektionsgefahr durch die Analyse gegeben!
Einer der Vorteile von PE-Studio ist es, dass man ein wirksames Analysewerkzeug auf dem eignen PC betreiben kann und die jeweilige Datei nicht aus den Händen gibt. Dies kann ein kritischer Punkt sein, wenn beispielsweise Probleme mit einer Lizenz zu befürchten sind oder vertrauliche Daten in der Datei enthalten sind, die man nicht aus den Händen geben möchte. Denn Internet-Scanner wie VirusTotal oder Jotti teilen die Daten oft innerhalb der Security-Gemeinschaft.

Die Installation von PEStudio ist ebenso einfach, wie die Nutzung. Zur Installation muss man lediglich eine Archivdatei einpacken und die einzelnen Dateien werden in einem Directory abgelegt. PEStudio „verewigt“ sich nicht in der Registry oder andere Verzeichnissen und hinterlässt quasi keinen dauerhaften Fußabdruck nach einer Deinstallation (Löschen der Files).
Um eine Datei nun mit PEStudio zu analysieren, genügt es, die zu analysierende Datei via Drag&Drop in das PEStudio-Fenster „fallen zu lassen“. Daraufhin wird die Analyse unmittelbar eingeleitet. Je nach Größe der Datei kann dies eine kurze Weile dauern, bis die ersten Ergebnisse vorliegen. PEStudio markiert dabei mit Farben bereits die interessanten Bereiche, so dass man recht schnell erkennen kann, was sich aus der PE-Struktur herauslesen lässt.
Das Tool stellt dabei beispielsweise im Binary enthaltene ASCII-Klartexte ebenso dar, wie eigebundene Ressourcen (.DLL-Dateien), deren genutzte Funktionen und auch Original-Daten, wie Dateinamen und Datumswerte. Sogar digitale Zertifikatsinformationen werden angezeigt und analysiert.
Durch die automatische Bewertung der gefunden „Besonderheiten“ können selbst unerfahrene Personen schnell entschieden, ob die Nutzung wahrscheinlich ungefährlich ist oder man besser eine weitergehende Analyse durchführen sollte.

PEStudio ergänzt das eigene Tool-Set, wenn es gilt, Malware zu identifizieren und abzuwehren. Der Ansatz ist anders, als der eines normalen Virenscanner. Aber je mehr Daten man bekommt, bevorzugt von unterschiedlichen Quellen, desto sicher kann man bei dem Analyseergebnis sein. Wer PEStudio noch nicht im Set hat, sollte es hinzufügen!

Sicheres arbeiten

Ralph Dombach Ralph Dombach Ralph Dombach ist der Betreiber der Webseite secuteach.de und informiert damit über IT Sicherheit aus aller Welt. Ralph schreibt zusätzlich ausgezeichnete Artikel für weitere namhafte Printmedien wie etwa „IT Sicherheit“ und „KES„. Er ist ein versierter Experte im Bereich der IT Sicherheit und definitiv ein würdiger deutscher Vertreter der Security Szene und sehr aktiv auf Twitter (@secuteach)

Beitragsbild Security check mark von Christiaan Coolen – Lizenz: CC-BY-SA 2.0

 

Artikel teilen:

Kommentar verfassen