Heaventools

   English English  Deutsch Deutsch

Lösungen für IT-Security und Sicherheitsprofis

Codeanalyse der Malware

Analyse der Schadprogramme wird langsam aber sicher zum unabdingbaren Bestandteil eines Sicherheitsprofis. Reverse-Engineering-Spezialisten von Antivirus- und Forensik-Unternehmen stehen vor einer Herausforderung, viele schädliche Software zu analysieren, die im hohen Maße auftritt.

Heaventools Software versorgt Sie mit Lösungen für den Ausbau und Überprüfung, so dass Sie den Komfort genießen, alle nötigen Tools unter einem einfachen Interface zu haben.

PE Explorer reduziert die Zeit, die man braucht, um die Struktur der komplexen Malware zu verstehen. Falls Reverse-Engineering von Malware und Verfolgen von Code, Quellcode-Bewertung, Testen und Überprüfen des Schadenpotentials zu Ihrem täglichen Job gehören, spart PE Explorer viel Zeit.

  PE Explorer Datenblatt PE Explorer Datenblatt (PDF)

Digital Signature Viewer lässt Sie die Zertifikat-basierte digitale Signatur einer bestimmten ausführbaren Datei untersuchen, die Identität des Software-Herausgebers bestätigen und prüfen, dass die Signatur gültig ist.



“Mit dem Digital Signature Viewer der PE Explorer steht Ihnen ein hervorragendes Tool zum Erkennen von Viren, Malwareprogrammen und anderen schädlichen ausführbaren Dateien zur Verfügung, mit dem Sie die in der geladenen ausführbaren Datei enthaltene digitale Signatur anzeigen und überprüfen können. Dies ist eine leistungsfähige Methode, um den Herausgeber und die Integrität der ausführbaren Datei zu überprüfen.”

Greg Steen,
Microsoft TechNet Magazine


 

Eine Zerlegung des Codes ermöglicht eine Untersuchung, wie das Programm exakt funktioniert sowie die Identifizierung potentieller Sicherheitslücken. Wenn Sie Reverse-Engineering auf Spyware anwenden, können Sie feststellen, nach welchen Informationen das Spionageprogramm gesucht hat, und welche anderen Fähigkeiten es besitzt. Reverse-Engineering kann auch dafür benutzt werden, undokumentierte APIs oder Porttreiber zu entdecken, oder Software-Patches zu analysieren.

PE Explorer Disassembler wurde als leicht zu bedienende Alternative zu anderen Disassembler programmen gestaltet. Dementsprechend wurden einige Funktionen, die man in anderen Produkten findet, ausgelassen, um den Vorgang einfach und schnell zu gestalten.

Komprimierte Würmer und Trojaner entfernen

Viele Autoren schädlicher Software nutzen UPX und Upack-Verschlüsselung, um die Größe des Exploits (Programm, das eine Sicherheitslücke in einem Computersystem ausnutzt) zu reduzieren, so dass es überall hineinpasst. Vorher musste man die ausführbare Datei starten und komprimierte Segmente sofort abspeichern, nachdem die ausführbare Datei in den Speicher entpackt wurde.

PE Explorer bietet eine bessere Lösung. PE Explorer arbeitet mit komprimierten ausführbaren Malware-Dateien und kann eine Datei abfertigen, selbst wenn diese mit UPX komprimiert und manuell modifiziert wurde, dass die standardmäßige UPX-Entpackungsmethode nicht direkt verwendet werden kann, um die Datei zu entpacken ohne sie auszuführen.

PE Explorer unterstützt Dateien, die mit Upack und vielen anderen UPX- Scramblern, wie Advanced UPX Scrambler, UPoLyX, UPX Lock und mehr, verändert wurden. Nun können Sie diese verschleierten Dateien mit PE Explorer öffnen, sogar ohne zu wissen, dass die Dateien automatisch entpackt werden.

UPX Unpacker

PE Explorer deckt die gesamte Struktur und alle Ressourcen der verdächtigen Datei auf, um diese zu untersuchen und Reverse-Engineering zu betreiben. Mit PE Explorer können Sie rasch die Prozeduren und Bibliotheken, die die Malware benutzt, analysieren, ohne dabei die ausführbaren Dateien zu aktivieren – ein großer Vorteil gegenüber Diagnose-Programmen, bei denen der verdächtige Code ausgeführt werden muss, um analysiert zu werden.

Das Produkt bietet zudem eine offene Schnittstelle zur Einbindung von benutzerdefinierten Startup-Modulen zum Bearbeiten von verschlüsselten Dateien.


Hex Editor

Die Dinge in der Malware-Welt sind nicht immer so, wie sie aussehen. Ein großer Teil in der Welt schädlicher Software dreht sich darum, den Anwender zu täuschen. Wenn Sie nun ein Stück Malware in den Händen haben, müssen Sie hineinschauenund es entziffern können, und dazu brauchen Sie ein oft benutztes Tool – einen guten Hexeditor.

FlexHexFlexHex wurde extra dafür entwickelt, um Binärdateien, OLE-Compounddateien, logische und physische Laufwerke sicher anzusehen und zu bearbeiten.

Im Unterschied zu anderen Hex-Editoren bietet FlexHex volle Unterstützung für NTFS-Dateien. Speziell unterstützt FlexHex Sparse-Dateien (Dateien mit komprimierten Nullbereichen) und Alternate Data Streams (nicht sichtbare, den Dateien zugewiesene Unterdaten) von Dateien auf jeder NTFS-Platte. Damit können Sie Ihre Dateien auf Vorhandensein von Alternate Data Streams überprüfen und versteckte Daten bearbeiten, die andere HEX-Editoren noch nicht einmal sehen können!