pestudio используется во многих компьютерных командах реагирования на чрезвычайные ситуации (CERT) во всем мире для выполнения начальной оценки вредоносных программ.
Вредоносная программа часто пытается скрыть свои намерения, чтобы избежать раннего обнаружения и статического анализа.
При этом он часто пропускает подозрительные шаблоны, неожиданные метаданные, аномалии и другие ценные индикаторы.
Цель pestudio – выявить эти артефакты, чтобы облегчить и ускорить первоначальную оценку вредоносных программ.
Инструмент использует мощный синтаксический анализатор и гибкий набор файлов конфигурации XML, которые используются для обнаружения различных типов индикаторов и классификации элементов.
Поскольку анализируемый файл никогда не запускается, вы можете проверять неизвестные или вредоносные файлы исполняемого файла, трояна, ransomware и APT без какого-либо риска заражения.
Обнаружение вирусов
pestudio может запрашивать антивирусные модули, размещенные на Virustotal.
Полное руководство по VirusTotal [2018]
Отправляется только MD5 анализируемого файла.
Эта функция может быть включена или выключена с использованием файла XML, содержащегося в pestudio.
Импорт
Даже подозрительный двоичный файл должен взаимодействовать с операционной системой, чтобы выполнять свою деятельность.
pestudio извлекает библиотеки и связанные с ними функции.
Несколько файлов XML используются для черных списков (например, реестра, процесса, потока, файла и т. д.).
Файлы черного списка могут быть настроены и расширены в соответствии с вашими собственными потребностями. pestudio выявляет цель и цель анализа приложения.
Ресурсы
Секции ресурсов обычно используются вредоносными программами для размещения полезной нагрузки.
pestudio обнаруживает множество встроенных типов файлов (например, EXE, DLL, SYS, PDF, CAB, ZIP, JAR и т. д.).
Обнаруженные элементы могут быть сохранены в файл, что позволяет, следовательно, возможность дальнейшего анализа.
Отчет
Цель pestudio – позволить исследователям анализировать неизвестные и подозрительные исполняемые файлы.
С этой целью pestudio также может создавать файл выходного отчета XML, документирующий анализируемый исполняемый файл.
Цель этого файла отчета XML-вывода – предложить его дальнейшее использование любым сторонним инструментом анализа.
Командная строка
pestudio запускается из графического интерфейса пользователя (GUI), а также из командной строки (CLI).
Запуск pestudio из CLI дает возможность анализировать исполняемый файл и создавать связанные выходные файлы XML в пакетном режиме.
