Heaventools

   English English  Deutsch Deutsch  Русский Русский

Решения для анализа вредоносных программ

Heaventools Software предлагает решение для дизассемблирования и изучения исполняемых файлов, которое позволит вам выполнять быстрый, и в то же время тщательный анализ кода.

Анализ кода вредоносных программ

Любой профессионал в области компьютерной безопасности в наши дни обязан владеть навыками анализа кода вредоносных программ. Новые вредоносные программы и их модификации появляются так часто, что инженеры антивирусных лабораторий едва успевают реагировать на появление новых образцов adware, программ-шпионов, троянов и червей, не говоря уже о классических деструктивных вирусах.

Несмотря на то, что уровень обнаружения вредоносных программ при помощи различных антивирусных технологий становится с каждым годом всё лучше и лучше, значительная часть вредоносных программ всё же ускользает от процесса автоматического сканирования и проникает на компьютеры пользователей. К тому же антивирусные средства могут лишь обнаружить вредоносную программу сигнатурными методами, но не могут ни объяснить, что она делает, ни ликвидировать все последствия ее деятельности. В основном антивирусы реагируют на уже известные, идентифицированные образцы и ничем не могут помочь при обнаружения неизвестных угроз.

PE Explorer Одним из основных инструментов, используемых при анализе кода неизвестных зловредных программ, всегда был и есть дизассемблер. Heaventools предлагает вам своё решение для дизассемблирования и изучения исполняемых файлов, которое позволит вам выполнять тщательный анализ и проверять наличие угрозы в бинарных файлах. Все необходимые средства для аудита объединены в программе единым интерфейсом.

PE Explorer значительно экономит время, требующееся на понимание структуры сложного и запутанного кода вредоносной программы и принципов её работы. Если ваша повседневная работа включает реверсинг и исследование уязвимостей программного кода, восстановление исходных кодов и поиск параметров, тестирование или изучение поведения неизвестных файлов, PE Explorer сэкономит вам немало часов и во многом упростит вашу работу.

Средство для просмотра цифровой подписи, входящее в состав PE Explorer, обеспечивает проверку валидности цифровой подписи исполняемого файла и подробный просмотр деталей сертификата в блоке цифровой подписи. Это позволяет идентифицировать производителя файла, удостовериться в подлинности цифровой подписи и в том, что файл не подвергался изменениям после добавления цифровой подписи.


“Редактирование исполняемых файлов: PE Explorer очень полезный инструмент для тех, кому нужно заглянуть внутрь исполняемых файлов. Отличное средство для обнаружения вирусов, malware и прочего зловредного кода. Используя Вьювер цифровых подписей, вы можете проверить загружаемый исполняемый файл на наличие у него цифровой подписи и на её целостность. Это самый надёжный способ удостоверить подлинность поставщика программы и источник происхождения файла.”

Greg Steen,
Microsoft TechNet Magazine


 

Дизассемблирование кода делает возможным изучение принципа работы вируса и определение потенциальной угрозы, которую он содержит. Например, если вы изучаете шпионскую программу, вы можете точно определить, какого рода информацию эта программа пытается собрать, куда отправить, и тому подобное.

Дизассемблер, входящий в состав PE Explorer, разработан с целью дать разработчикам и исследователям простой и удобный инструмент для выполнения экспресс-анализа исполняемых файлов. Мы попытались достичь уровня IDA Pro, при этом не требуя от пользователя специфических знаний и умений, поскольку большинство стадий процесса дизассемблирования в PE Explorer автоматизированы.


Распаковка вредоносных программ

В состав PE Explorer входят плагины для распаковки UPX, Upack и NSPack. Эти плагины вызывается при каждом открытии файла и анализируют, не является ли открываемый файл сжатым при помощи одного из этих упаковщиков.

Многие вирусмейкеры используют упаковщики исполняемых файлов, стараясь максимально уменьшить размер файла для облегчения проникновения вируса в компьютеры своих жертв, а так же для затруднения анализа метода работы вируса. При изучении такого файла вам прежде всего необходимо установить сам факт того, что файл был запакован. Плагины для распаковки отображают всю информацию о ходе процесса декомпрессии в нижней панели лога:

Upack Unpacker

Теперь, после того, как файл был открыт и распакован, вы можете продолжить изучение файла с помощью анализатора импорта или начать поиск следов в текстовых строках, найденных в файле при помощи дизассемблера. В отличие от дебаггеров, PE Explorer производит статический анализ процедур и библиотек, используемых вирусом, и не исполняет вредоносный код.


Hex Редактор FlexHex

Flex Hex Редактор В мире вирусов и malware многие файлы оказываются совсем не тем, чем они кажутся на первый взгляд. Большинство образцов зловредных программ изо всех сил пытаются обмануть пользователя и прикинуться невинными и добропорядочными программами. И вам нужно надёжное и испытанное средство, которое бы позволило открыть файл и заглянуть внутрь - вам нужен хекс редактор.

FlexHex был специально разработан для решения задач, связанных с безопасным просмотром и редактированием бинарных файлов, составных файлов, логических устройств и физических дисков.

В отличие от других хекс редакторов, FlexHEX обеспечивает полную поддержку NTFS файлов. В частности, FlexHEX поддерживает работу с разреженными областями файлов и альтернативными потоками файлов на NTFS разделах. Теперь вы можете проверять ваши файлы на наличие альтернативных потоков и редактировать скрытые от других хекс редакторов данные.