Kleiner Tipp zur Analyse von Windows-Programmen auf Malware bzw. deren Bestandteile. Es gibt ein Produkt PEStudio von Marc Ochsenmeier, mit dem sich ein Windows-Programm schnell analysieren und in seinen Bestandteilen über VirusTotal auf Malware überprüfen lässt.
Anzeige
PEStudio steht in einer Free- und einer kostenpflichtigen Pro-Variante (129 Euro pro Nutzer und Jahre) auf dieser Webseite zur Verfügung. Die PEStudio Free-Variante bietet eine Malware-Analyse in einem privaten Kontext, indem Dateisignaturen und feste URLS sowie IP-Adressen ausgelesen und angezeigt werden.
Das Tool lässt sich aus der ZIP-Datei entpacken und kann ohne Installation gestartet werden. Anschließend lässt sich die zu analysierende Programmdatei per Drag&Drop in das Programmfenster ziehen. In einem Baumdiagramm lassen sich dann verschiedene Informationen abrufen. Allerdings musste die mir verfügbare Free-Version zum Test eines zweiten Windows-Programms beendet und neu gestartet werden. Die Free-Versionen bietet beispielsweise folgende Features zur Analyse (siehe auch obigen Screenshot).
- Erkennung von Dateisignaturen
- Erkennen von hartkodierten URLs und IP-Adressen
- Sammeln von Metadaten
- Sammeln von Importen, Exporten, Strings
- Abrufen von Manifest, Ressourcen, Overlay
- Abrufen des Ergebnisses von Virustotal
Der Changelog für die Version 9.56 findet sich hier. IT-Administrator hat das Tool in diesem Kurzbeitrag vorgestellt.
Anzeige
Anzeige
Der Autor des Programms bietet auf seiner Website kein Impressum, keine AGBs, keine Datenschutzerklärung. er erwartet, dass man blind mit Krditkarte oder per PayPal bezahlt. Er schreibt in einem Punkt "Disclaimer", dass seine Website google-anayltics nicht nutzt, bindet aber Fonts via google APIs ein (was auf das gleiche hinausläuft).
Ich empfinde das als nicht bis überhaupt nicht vertrauenswürdig. Schon gar nicht in diesem spezifischen Gebiet.
Das Tool wird "als regelmäßig herausragend auf toolswatch.org gelistet" beworben. https://toolswatch.org/?s=pestudio
Da ist es 2014/2015 aufgetaucht, danach aber nicht mehr.
Lizenzbedingungen und Kaufoptionen finden sich ausschließlich in einem auf der website nicht verlinkten PDF auf dem winitor Server.
Artikel wie dieser: https://www.varonis.com/de/blog/pestudio schaffen kein besseres Bild. Der Einstieg ist für völlig unerfahrene geschrieben und hat schon was von Kinderbuch. Was könnte das für ein Publikum sein, dass da angesprochen sein sollte.
Mag sein, das Tool ist ein legitimes und der Autor ebenso.
Positive Reputation gibt das oben aber alles nicht.
Den verlinkten Twitter Account kann man nicht prüfen, weil Twitter nur das linken auf spezifische Tweets erlaubt – solange man keinen Account dort hat.
Was gäbe es denn an positiv bestätigender Reputation zu dem Programm Autor zu sagen?
Nun ja, man könnte ja einfach mal sein LinkedIn-Profil durchgehen. Im Profil auf X gibt er "Malware Analyst BoschGlobal CERT, Author of pestudio" an. Über 13.000 Follower auf X sind auch kein Pappenstiel und die Teilnahme an BlackHat-Konferenzen 2014/2015/2019 dürften seine Angaben als "Malware Analyst" stützen.
Das vermeintlich fehlende Impressum ist in der Tat doof, findet sich aber unter Disclaimer (siehe auch den Folgekommentar).
Zum Thema Google-Fonts: Ich habe drei Checker über die Seite laufen lassen – keiner zeigt mir an, dass solche Fonts verwendet werden. Was mache ich falsch?
Ein Impressum ist vorhanden, nur wurde es beim Disclaimer untergebracht.
Ein Blick in den HTML Code verrät mehr. Aber die Page baut einige Verbindungen zu google auf. Ob das browserabhängig wäre?
Und hättest Du etwas weiter "geforscht" wäre Dir aufgefallen, dass es um Schriftzeichen geht. Griechisch, Kyrillisch, Vietnamesisch & Chinesisch.
Aber das widerspricht immer noch nicht seiner Aussage, dass er KEIN
Google analytics nutzt!
Also warum versuchst Du andauernd ihn und seine Software schlecht zu machen?
Naja Impressum; AGB;Datenschutzbestimmungen haben wir alles "unbedarften Usern" zu verdanken die nicht selbst denken können und dann nach Nanny Staat geschrien haben.
Sagt alles kein bisschen über die Qualität der Software aus!
Und Ja diese Software richtet sich nicht an den Pro, sondern wird gerade damit beworben das da jeder seine Analyse mit anstellen kann, was erwartest du da dann von der "Anleitung"? Nen Pro braucht die doch gar nicht.
Da es ja ne Free Version gibt kannst du das Ganze auch ausgiebig vor Kauf testen.
PS: Nein ich bin weder der Author noch verwand oder verschwägert oder in sonst einer Geschäftsbeziehung stehend. Ich denke nur selbst.
Ich habe Marc Ochsenmeier wegen des fehlenden Impressums und der nicht vorhandenen
AGBs, sowie der fehlenden Datenschutzerklärung informiert.
Er wird zeitnah die Daten nachliefern.
Und stellt Euch vor, das ganze habe ich ohne Abmahnung und utopischer Geldforderung gemacht.
Oh, ich sehe gerade, das Impressum hat er schon eingelegt.
Auf der Page hat sich nicht wirklich was geändert. Aber die Notiz mit "Ohne Abmahnung" verstehe ich nicht.
Mir ging es grundsätzlich darum, dass bei forensischer SW einiges an vertrauensbildenden Maßnahmen im Vorfeld hilfreich sein kann.
Das Impressum!
Er hat das Impressum nachgepflegt!
Und so mancher Abmahnanwalt hätte Marc nun abgez.., äh, abgemahnt.
Aber zum Glück arbeiten die sonntags nicht.
PEStudio und der Autor haben eine gewisse Bekanntheit. Somit habe ich am Angebot keine Zweifel. Von der Websitequalität auf die Softwarequalität zu schließen, habe ich mir abgewöhnt. PEStudio ist ein Seitenprojekt von einer Person. Da würde ich den Maßstab etwas anders anlegen.
Einen Link "Impressum" kann ich allerdings auch heute noch nicht auf der Website entdecken. Ich bekomme aber auch eine englische Webpage angezeigt. Vielleicht gibt es ja mehrere Varianten oder ein Cacheproblem.
Google Analytics wird nicht eingesetzt. Die Aussage ist korrekt. Das ist unstreitig. Durch eine Einbindung von Fonts via Google-Server (in der PEStudio- Website eingebunden, aber nur für bestimmte Browserkonstellationen werden Fonts von Google geladen), wird Google technisch in die Lage versetzt ein Tracking durchzuführen. Google verneint das. Für den Fall, dass Fonts nachgeladen werden, ist nach derzeitiger Auslegung DSGVO eine Einwilligung zu holen, was wieder Mehraufwand bedeutet.
Die Fonts lokal auf dem eigenen Webspace zu speichern, ist da der einfachere Weg.