Analiziranje izvršnih datoteka Program PeStudio kao da je pravljen za potrebe snimanja serije „C.S.I.: Cyber”. Reč je o naročitom alatu koji, mahom, koristi statičku analizu kako bi utvrdio da li se testirani „subjekat” ponaša sumnjivo, kao i da li u njegovom kodu postoji maliciozni sadržaj za koji bi korisnik trebalo da zna. Na raspolaganju je dvadesetak procedura i sve skupa deluje prilično zaguljeno i okrenuto ka naprednim korisnicima, da ne kažemo forenzičarima. Ipak, u praksi, stvari su nešto drugačije i u momentu kada budete naučili čemu služe moduli programa bićete u prilici da saznate mnoštvo zanimljivih stvari o izvršnim datotekama koje „gajite” na hard-disku.Pomenuli smo da program koristi statičke analize tokom rada. Ovo je veoma važno, pošto, ako se otkrije datoteka sa malicioznim sadržajem, možete biti sigurni da nećete zaraziti ostatak sistema jer PeStudio nikada ne pokreće testirane aplikacije. Dalje, čak se i pri procesu skeniranja virusa koristi MD5 vrednost fajla koja se šalje u „oblak” (koristi se servis www.virustotal.com), a tamo se uz pomoć 55 anti-viirusnih mašina ona testira a podaci vraćaju u program. Analiziranje počinje onog momenta kada drag&drop metodom u radnu formu prevučete neku izvršnu datoteku. PeStudio odmah izlistava preliminarne podatke u koje spadaju MD5 i SHA1 vrednosti, datum kreiranja aplikacije, veličina programa, programski alat sa kojim je izrađen, pa čak i informacije o tome da li je alat namenjen za korišćenje u 32-bitnom ili 64-bitnom okruženju. Nakon toga, korisnik ima potpunu slobodu u korišćenju dodatnih modula, odnosno u redosledu njihovog pozivanja. Pošto je analiza već gotova informacije se ovde dobijaju odmah po kliku na spisak kategorija koji je lociran u levom delu ekrana. Šta se to još može saznati? Već smo napomenuli da je na meniju skeniranje virusa i u ovoj sekciji dobijate izveštaj koji engine je korišćen u procesu skeniranja i da li je pronađena neka pretnja ili ne. Podaci su dati tabelarno i veoma su pregledni. Dalje, iz sekcije Strings pristupa se tekstu koji se nalazi u okviru programskog koda. Ovde se može nalaziti svašta, od poruka o greškama, preko naziva web sajtova, pa sve do naziva procedura, putanja do direktorijuma/fajlova i slično. Iz sekcije Imported Libraries vidi se spisak svih DLL biblioteka sa kojima testirani program stupa u korespodenciju tokom svog rada. Resources pokazuje da li program u sebi sadrži implementiranu grafiku, kao i na kojim mestima se koriste konkretna rešenja... PeStudio pruža unikatan pogled u strukturu izvršnih datoteka i način njihovog funkcionisanja. Da biste bili u prilici da rastumačite podatke potrebno je veliko znanje, pogotovo što program ni na koji način ne vrši „dekriptovanje” prikazanih rezultata. Tu ste prepušteni sami sebi. S druge strane, neke podatke ćete moći i sami da razumete (vidi početak teksta), a to je već dobar start i uzletna pista za učenje. Program je besplatan i portabilan, pa ga preuzmite i probajte. Vladimir PISODOROV | | |
