РусскийРешения для анализа вредоносных программ
Heaventools Software предлагает решение для дизассемблирования и изучения исполняемых файлов, которое позволит вам выполнять быстрый, и в то же время тщательный анализ кода.
Анализ кода вредоносных программ
Любой профессионал в области компьютерной безопасности в наши дни обязан владеть навыками анализа кода вредоносных программ. Новые вредоносные программы и их модификации появляются так часто, что инженеры антивирусных лабораторий едва успевают реагировать на появление новых образцов adware, программ-шпионов, троянов и червей, не говоря уже о классических деструктивных вирусах.
Несмотря на то, что уровень обнаружения вредоносных программ при помощи различных антивирусных технологий становится с каждым годом всё лучше и лучше, значительная часть вредоносных программ всё же ускользает от процесса автоматического сканирования и проникает на компьютеры пользователей. К тому же антивирусные средства могут лишь обнаружить вредоносную программу сигнатурными методами, но не могут ни объяснить, что она делает, ни ликвидировать все последствия ее деятельности. В основном антивирусы реагируют на уже известные, идентифицированные образцы и ничем не могут помочь при обнаружения неизвестных угроз.
Одним из основных инструментов, используемых при анализе кода неизвестных зловредных программ, всегда был и есть дизассемблер. Heaventools предлагает вам своё решение для дизассемблирования и изучения исполняемых файлов, которое позволит вам выполнять тщательный анализ и проверять наличие угрозы в бинарных файлах. Все необходимые средства для аудита объединены в программе единым интерфейсом.
PE Explorer значительно экономит время, требующееся на понимание структуры сложного и запутанного кода вредоносной программы и принципов её работы. Если ваша повседневная работа включает реверсинг и исследование уязвимостей программного кода, восстановление исходных кодов и поиск параметров, тестирование или изучение поведения неизвестных файлов, PE Explorer сэкономит вам немало часов и во многом упростит вашу работу.
Средство для просмотра цифровой подписи, входящее в состав PE Explorer, обеспечивает проверку валидности цифровой подписи исполняемого файла и подробный просмотр деталей сертификата в блоке цифровой подписи. Это позволяет идентифицировать производителя файла, удостовериться в подлинности цифровой подписи и в том, что файл не подвергался изменениям после добавления цифровой подписи.
|
“Редактирование исполняемых файлов: PE Explorer очень полезный инструмент для тех, кому нужно заглянуть внутрь исполняемых файлов. Отличное средство для обнаружения вирусов, malware и прочего зловредного кода. Используя Вьювер цифровых подписей, вы можете проверить загружаемый исполняемый файл на наличие у него цифровой подписи и на её целостность. Это самый надёжный способ удостоверить подлинность поставщика программы и источник происхождения файла.” Greg Steen, |
Дизассемблирование кода делает возможным изучение принципа работы вируса и определение потенциальной угрозы, которую он содержит. Например, если вы изучаете шпионскую программу, вы можете точно определить, какого рода информацию эта программа пытается собрать, куда отправить, и тому подобное.
Дизассемблер, входящий в состав PE Explorer, разработан с целью дать разработчикам и исследователям простой и удобный инструмент для выполнения экспресс-анализа исполняемых файлов. Мы попытались достичь уровня IDA Pro, при этом не требуя от пользователя специфических знаний и умений, поскольку большинство стадий процесса дизассемблирования в PE Explorer автоматизированы.
Список возможностей PE Explorer 
Подробнее о дизассемблере
Скачать 30-дневную пробную версию PE Explorer Купить лицензию
Распаковка вредоносных программ
В состав PE Explorer входят плагины для распаковки UPX, Upack и NSPack. Эти плагины вызывается при каждом открытии файла и анализируют, не является ли открываемый файл сжатым при помощи одного из этих упаковщиков.
Многие вирусмейкеры используют упаковщики исполняемых файлов, стараясь максимально уменьшить размер файла для облегчения проникновения вируса в компьютеры своих жертв, а так же для затруднения анализа метода работы вируса. При изучении такого файла вам прежде всего необходимо установить сам факт того, что файл был запакован. Плагины для распаковки отображают всю информацию о ходе процесса декомпрессии в нижней панели лога:
Теперь, после того, как файл был открыт и распакован, вы можете продолжить изучение файла с помощью анализатора импорта или начать поиск следов в текстовых строках, найденных в файле при помощи дизассемблера. В отличие от дебаггеров, PE Explorer производит статический анализ процедур и библиотек, используемых вирусом, и не исполняет вредоносный код.
Подробнее о плагинах для статической распаковки
Скачать 30-дневную пробную версию PE Explorer Купить лицензию
Hex Редактор FlexHex
В мире вирусов и malware многие файлы оказываются совсем не тем, чем они кажутся на первый взгляд. Большинство образцов зловредных программ изо всех сил пытаются обмануть пользователя и прикинуться невинными и добропорядочными программами. И вам нужно надёжное и испытанное средство, которое бы позволило открыть файл и заглянуть внутрь - вам нужен хекс редактор.
FlexHex был специально разработан для решения задач, связанных с безопасным просмотром и редактированием бинарных файлов, составных файлов, логических устройств и физических дисков.
В отличие от других хекс редакторов, FlexHEX обеспечивает полную поддержку NTFS файлов. В частности, FlexHEX поддерживает работу с разреженными областями файлов и альтернативными потоками файлов на NTFS разделах. Теперь вы можете проверять ваши файлы на наличие альтернативных потоков и редактировать скрытые от других хекс редакторов данные.
Подробнее о FlexHex Купить лицензию
Скачать пробные версии продуктов Heaventools