Malware mit pestudio identifizieren

pestudio greift sich eine ausführbare Datei und liefert zunächst einmal zahlreiche Informationen über diese. So generiert das Werkzeug unter anderem Listen mit allen genutzten Windows-Bibliotheken und importierten (System-)Funktionen. Diese ausgelesenen Daten untersucht das Tool zusätzlich auf verdächtige Eigenschaften. Dazu zählen etwa fragwürdige Zugriffe auf die Registry oder der Aufruf von problematischen DLL-Dateien. Welche Zugriffe als verdächtig oder sogar verboten gelten, teilt dem Werkzeug eine Blacklist mit, die Anwender selbst um eigene Regeln ergänzen können. Abschließend lässt pestudio das Programm vom Internetdienst virustotal.com und somit gleich mehreren verschiedenen Virenscannern analysieren. Dabei verschickt die Software nur einen Hashwert, das Programm selbst wandert nicht durch das Internet.

Prüfung bedarf der Interpretation

pestudio bewertet alle gefundenen Probleme und markiert sie farblich. Besonders kritische Aktionen oder Daten hebt die Benutzeroberfläche rot hervor, zweifelhafte Aktionen erscheinen orangefarben. Das Werkzeug liefert allerdings nur mögliche Hinweise auf eine Malware – auch harmlose Programme greifen mitunter auf als problematisch eingestufte Funktionen zurück. Darunter fallen sogar die in Windows mitgelieferten Anwendungen und Bibliotheken. Administratoren müssen folglich die von pestudio angezeigten Informationen und Hinweise immer selbst interpretieren.

pestudio existiert in einer kostenfreien und einer kostenpflichtigen Fassung. Nur Letztgenannte dürfen Sie in einem kommerziellen Umfeld verwenden. Im Gegenzug bietet diese pestudio pro getaufte Variante gegenüber ihrer kostenlosen Kollegin ein paar nützliche Zusatzfunktionen. Unter anderem können Sie einen Report im XML-Format generieren, abgelaufene digitale Zertifikate anmahnen und DOS-Header erkennen. Darüber hinaus lässt sich die Pro-Version über die Kommandozeile

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.