Анализирайте подозрителни изпълними файлове на Windows с PeStudio

• Категория: Софтуер

Опитайте Нашия Инструмент За Премахване На Проблемите

Изберете Операционната Система Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Изберете Програма За Проекция (По Желание) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишете Проблема Си

Вземете Отговор

Изпратете Ме По Имейл Показване На Сайта

Ако инсталирате и стартирате нов софтуер редовно на вашата Windows система, може да сте попаднали на програми, към които имате лошо усещане.

Може би защото сте ги изтеглили от сайт, на който не можете да се доверите, може би защото това е ново приложение, което все още не е било преглеждано никъде, или може би заради това, което се предполага.

Можете да сканирате изпълнимия файл локално след това и на сайтове като VirusTotal за да разберете дали съдържа злонамерен код.

Понякога получавате две, три или четири попадения на VirusTotal, докато останалите антивирусни двигатели съобщават, че файлът е чист.

Освен ако основните двигатели не съобщават за посещенията, обикновено това е невярно, но бихте ли рискували да инсталирате зловреден софтуер въз основа на това?

Можете да стартирате програмата в пясъчна кутия така че да не влияе върху основната система, независимо какво. Друг вариант е да го анализирате с помощта на безплатната програма PeStudio.

PeStudio е безплатна преносима програма за Windows, която можете да използвате за анализ на изпълними файлове по различни начини. Той е създаден, за да разкрие подозрителни модели, индикатори и аномалии, които ви предоставят допълнителна информация за основната цел на програмата и дали е злонамерена или не.

Всичко, което трябва да направите, е да плъзнете изпълним файл в прозореца на програмата, след като сте го стартирали, за да стартирате анализа.

Едно от първите неща, което PeStudio прави, е да запитва VirusTotal да съобщи за хитове. Това обаче е само едно от нещата, които прави и ще забележите, че в него са изброени повече от две дузини проверки, които извършва.

Всяка проверка е цветно кодирана, така че да знаете на пръв поглед какво трябва да проверите първоначално. Зеленото показва никакви проблеми, оранжево нещо, което трябва да разгледате, и червено най-належащите констатации, които първо трябва да проучите.

Щракването върху низове може например да разкрие команди, например манипулиране на системния регистър, използвани от имената на програма или модул, които могат да разкрият информация за неговата функция.

Друга информация, която предоставя, включва импортирани библиотеки и символи, файл и DOS заглавие, както и информация за сертификати и ресурси.

Списъкът с индикатори може да бъде от значение, тъй като в самия връх съдържа важна информация, открита по време на сканирането. Там можете да намерите информация за възможностите на програмата (например достъп до библиотеки по време на изпълнение, създаване или промяна на файлове), което може да бъде много полезно при вашия анализ.

На този етап трябва да се отбележи, че PeStudio намира индикатори и че червените или оранжевите цветови кодове не трябва да означават, че става нещо рибено.

PeStudio идва като графичен потребителски интерфейс, но и като версия на командния ред, която можете да стартирате точно от него.

присъда

PeStudio е полезна помощна програма за потребителите на Windows, които искат да анализират изпълними файлове, преди да ги пуснат в системата си. Интеграцията на VirusTotal е отлична и останалите опции, които предоставя, могат да ви дадат ценни указания дали една програма може потенциално да има злонамерен характер. (чрез Betanews )