Malware-Analyse wird schnell zu einer Fähigkeit, die jeder Sicherheitsexperte haben muss. Reverse-Ingenieure bei Antiviren- und Forensikunternehmen stehen vor der Herausforderung, eine große Anzahl bösartiger Software zu analysieren, die mit unglaublicher Geschwindigkeit auftaucht.

Obwohl Antivirensoftware kontinuierlich besser wird, entgeht einem sehr bedeutenden Prozentsatz der Malware der automatischen Überprüfung und richtet Schaden in Netzwerken an. Leider wächst dieser Prozentsatz auch täglich. Antivirensoftware zeigt wenig darüber, was die Malware tut, und kann hauptsächlich nur zuvor identifizierte Malware erkennen, nicht aber neue Malware.

Eines der Hauptwerkzeuge, das bei Reverse Engineering und Malware-Analyse verwendet wird, ist und war immer ein Disassembler. Der PE Explorer Disassembler ist im Vergleich zu anderen Disassemblern so konzipiert, dass er einfach zu bedienen ist. Während er so leistungsfähig wie die teureren, dedizierten Disassembler ist, konzentriert sich PE Explorer auf Benutzerfreundlichkeit, Klarheit und Navigation. Mit diesem ausgewogenen Ansatz ist es uns gelungen, einen hochwertigen Disassembler zu einem vernünftigen und erschwinglichen Preis zu schaffen, der sowohl für Fachleute als auch für Enthusiasten auf dem Gebiet des Reverse Engineering von großem Wert ist.

PE Explorer verfügt über eine benutzerfreundliche grafische Benutzeroberfläche, die es Ihnen ermöglicht, durch die verschiedenen Teile der PE-Datei zu navigieren. Sie können bestimmte Teile der PE-Datei bearbeiten, und der enthaltene Ressourcen-Editor ist ideal zum Durchsuchen und Bearbeiten der Ressourcen der Datei. Dies verringert erheblich die Zeit, die benötigt wird, um die Struktur komplexer Malware zu verstehen und die Geheimnisse ihres Designs zu enthüllen.

Manchmal müssen Sie sich in die Dateiköpfe vertiefen, um festzustellen, ob keine Täuschung vorliegt, insbesondere bei der Behandlung einer potenziell schädlichen bösartigen Binärdatei. Wenn Ihre tägliche Arbeit das Reverse Engineering von Malware, Quellcodeüberprüfungen, das Testen und Auswerten von Sicherheitslücken umfasst, kann PE Explorer Ihre Effizienz erheblich steigern und die Gesamtqualität Ihrer Sicherheitsüberprüfungsverfahren verbessern, wodurch Ihnen letztendlich wertvolle Stunden Zeit gespart werden.

Das Auseinandernehmen des Codes ermöglicht es, genau zu untersuchen, wie das Programm funktioniert, und potenzielle Schwachstellen zu ermitteln. Beispielsweise können Sie beim Reverse Engineering von Spyware auf einem System feststellen, welche Art von Informationen die Anwendung zu sammeln versucht, zusammen mit ihren anderen Funktionen.

Weitere Verwendungen von PE Explorer für Reverse Engineering umfassen die Entdeckung nicht dokumentierter APIs, das Portieren von Treibern und die Durchführung von Software-Patch-Analysen. PE Explorer zeichnet sich durch die Extrahierung einer Fülle von Informationen aus, einschließlich Zeichenfolgen, Exporten und Imports, aus, wodurch es für die Malware-Analyse von unschätzbarem Wert ist. Das Tool ermöglicht die Erkennung bedeutungsvoller Zeichenfolgen in der gesamten Datei und bietet Einblicke in die Funktionalität der ausführbaren Datei. Wenn beispielsweise nur wenige Zeichenfolgen gefunden werden, deutet dies stark darauf hin, dass der Code möglicherweise bösartiger Natur ist.

Der Digital Signature Viewer ermöglicht es Ihnen, eine Zertifikats-basierte digitale Signatur einer bestimmten ausführbaren Datei zu untersuchen, die Identität des Softwareherstellers zu validieren und zu überprüfen, ob die Signatur gültig ist, ob eine Anwendung von einer bestimmten Quelle stammt und ob sie nach der Unterzeichnung nicht manipuliert wurde.

Bösartige Softwareautoren verwenden häufig UPX- und Upack-Verschlüsselungen, um ihre Exploits zu komprimieren, ihre Größe zu reduzieren und sie flexibler und anpassungsfähiger zu machen, um in kleinere Räume zu passen.

Früher mussten Analysten die ausführbare Datei ausführen und die gepackten Segmente ablegen, nachdem die Datei im Speicher vollständig entpackt worden war.

PE Explorer bietet eine bessere Lösung, die auf die Incident-Response- und Computer-Forensik-Community zugeschnitten ist. PE Explorer ist auf den Umgang mit gepackten Malware-Executables spezialisiert, selbst solchen, die mit UPX komprimiert und manuell modifiziert wurden, um ein einfaches Entpacken mit der Standard-UPX-Entpackungsmethode zu verhindern.

PE Explorer ermöglicht es Analysten, solche anspruchsvollen Dateien effektiv zu untersuchen und zu analysieren, was einen umfassenderen Ansatz für die Malware-Analyse und -Untersuchung angesichts ausgefeilter Komprimierungstechniken ermöglicht.

PE Explorer bietet robuste Unterstützung für Dateien, die mit Upack und verschiedenen UPX-Verschlüsselungen wie dem Advanced UPX Scrambler, UPoLyX, UPX Lock und anderen modifiziert wurden. Der signifikante Vorteil besteht darin, dass die Benutzer sich nicht mehr über die spezifische Verpackungsmethode im Klaren sein müssen, da PE Explorer diese verschleierten Dateien beim Öffnen automatisch entpacken kann. Diese Funktion vereinfacht den Analyseprozess und ermöglicht es den Benutzern, direkt in die entpackten Inhalte einzutauchen, ohne sich um manuelle Entpackungsschritte kümmern zu müssen. Dies spart Zeit und verbessert die Effizienz bei der Malware-Untersuchung und bei Reverse-Engineering-Aufgaben.

PE Explorer deckt die gesamte Struktur und alle Ressourcen in verdächtigen Dateien auf, um sie zu untersuchen und Reverse Engineering durchzuführen. Mit PE Explorer können Sie die Verfahren und Bibliotheken, die eine bösartige ausführbare Datei verwendet, schnell analysieren, ohne die ausführbare Datei selbst zu aktivieren — ein großer Vorteil gegenüber Debuggern, bei denen der bösartige Code ausgeführt werden muss, um analysiert zu werden.

Die Dinge in der Welt der Malware sind nicht immer das, was sie zu sein scheinen. Ein großer Teil der Malware-Welt dreht sich darum, den Benutzer zu täuschen. Jetzt, da Sie ein Stück Malware in der Hand haben, benötigen Sie die Möglichkeit, in sie hineinzuschauen. Sie benötigen das am häufigsten verwendete Werkzeug — einen guten Hex-Editor.

FlexHex ist speziell dafür konzipiert, Ihnen dabei zu helfen, binäre Dateien, OLE-Verbunddateien, logische Geräte und physische Laufwerke sicher anzuzeigen und zu bearbeiten.

Im Gegensatz zu anderen Hex-Editoren bietet FlexHEX vollständige Unterstützung für NTFS-Dateien. Dies umfasst die vollständige Kompatibilität mit dünn besiedelten Dateien und alternativen Datenströmen (ADS), die in Dateien auf jedem NTFS-Volume vorhanden sind.

Mit FlexHEX können Benutzer bequem ihre Dateien überprüfen, um das Vorhandensein von alternativen Datenströmen zu identifizieren und sogar die versteckten Daten darin zu bearbeiten. Diese Funktion ist besonders nützlich für forensische Analysen, Sicherheitsaudits und Aufgaben, die eine gründliche Untersuchung von NTFS-Dateistrukturen und Datenströmen erfordern, die über das hinausgehen, was herkömmliche Hex-Editoren bieten können.