PeStudio：恶意软件静态分析全面指南

PeStudio概述：设置、教程和提示

PeStudio是一款用于静态分析恶意软件的工具，也是我最喜欢的恶意软件分析工具之一。

每当我开始分析一个恶意软件样本时，我总是首先将其加载到PeStudio中。它提供了关于样本的大量信息，为我开始构建报告提供了丰富的数据。这对于恶意软件样本的初始分类非常有用。

在本文中，我将介绍PeStudio是什么、一些关键功能以及如何用它开始分析恶意软件。

基本结构和功能

我喜欢PeStudio的地方在于它易于使用，工具布局清晰简单。双击桌面图标打开工具，只需将恶意软件样本拖放到工具中即可开始调查。

然后用户会看到多个标签页，提供了PeStudio从样本中提取的各种信息。

主标签（Main Tab）

在PeStudio中打开恶意软件样本时，用户首先看到的是“主”标签。

这里我们看到诸如样本哈希值等信息。如果您在组织中处理恶意软件相关事件，可以使用此信息开始阻止并查找文件系统上具有这些哈希值的设备。

PeStudio还提供了十六进制的首字节，在上图中我们可以看到“4D 5A”。这很有用，因为它确认了文件确实是一个Windows可执行文件。文件头中的首字节总是具有相同的字节模式，具体取决于文件类型。作为Windows用户，我们通常通过文件名附加的扩展名（如“.exe”）来识别文件。然而，操作系统通过文件头中的字节模式来识别每种文件类型，Windows可执行文件总是以十六进制的“4D 5A”开头，这相当于ASCII中的“MZ”值。

文件熵也被列出，这很有用，因为熵值可以帮助识别恶意软件是否被打包。恶意软件经常被打包，以便恶意软件作者编写的代码被混淆，坏人们花时间编写了一些恶意代码，不希望别人轻易查看恶意软件并在短时间内识别其功能和阻止方法。

熵值在0-8的尺度上测量，值越高表示恶意软件越可能被打包，值在7-8几乎确认样本被打包。这很有用，因为PeStudio告诉我们，我们需要解包恶意软件以提取一些有用的IOC。

如下所示

指示器标签（Indicators Tab）

PeStudio中的下一个标签是指示器标签，它突出了样本中可能恶意且对恶意软件分析师感兴趣的数据。

如下所示，标签数据中显示了virustotal扫描该样本得到的数值，数值越高则表示有更多的恶意软件扫描平台检测出该样本为恶意软件

节标签（Sections Tab）

节标签显示了组成可执行文件的各种节。

可执行软件的节名称可以是任何东西，但有一些常见的节你会遇到。

“.text”节包含可执行代码，查看节名称的列，我们可以在权限窗格旁边看到一个“x”，表示该节具有可执行权限。

“.rdata”和“.data”节存储数据，我们可以看到PeStudio识别了数据节是可写的。

“.idata”节存储导入地址表，IAT在文章后面会介绍。

“.rsrc”节存储恶意软件可以使用的资源，如字符串和附加文件。

下图为该样本的节标签显示

库标签（Libraries Tab）

库标签很有用，因为它显示了恶意软件正在导入哪些DLL（动态链接库），如下所示:

导入标签（Imports Tab）

导入标签是恶意软件导入的函数/API列表，这也称为IAT（导入地址表）。这很有用，因为从这个信息中可以了解恶意软件一旦入侵主机可能如何行为。下图显示了导入的API。如果我们后来开始使用诸如x64dbg之类的工具逆向工程恶意软件，这些信息也很有用，因为我们已经识别了一些有趣的功能，可以在这些API上设置一些断点，看看恶意软件传递给这些API的值是什么。

字符串标签（Strings Tab）

字符串标签列出了PeStudio在二进制文件中识别的任何人类可读字符串。PeStudio会告诉您找到了什么类型的字符串、它在二进制文件中的位置，如下所示

PeStudio设置

PeStudio超级容易安装，只需访问https://www.winitor.com/，您将看到以下页面。

点击“下载”标签，您可以通过点击“Download pestudio”下载免费版本的PeStudio。

然后您将提示下载最新版本作为zip文件。

只需解压缩文件，PeStudio将作为独立应用程序工作。请务必留意，因为PeStudio的作者marc ochsenmeier经常提供工具更新，如下所示

结论

无论您是在学习分析恶意软件、分类恶意软件事件还是编写YARA规则，PeStudio都是一个很好的工具，具有很大的深度。每当我需要构建新的恶意软件分析实验室时，它是我安装的第一个工具，也是我开始查看恶意软件时总是使用的第一个工具。ps：如果需要下载恶意样本的话，可以在该网站（https://bazaar.abuse.ch/browse/）下载，包括pe、elf、apk、bat、js等。