PEStudio - Unbekannte Anwendungen unter die Lupe nehmen

Funktionalität: PEStudio ist ein Sicherheits-Tool, das portabel einsetzbar und für die private Nutzung kostenlos ist. Nähere Angaben zu den Lizenzmodellen und -preisen für die kommerzielle Verwendung erhalten Interessenten direkt vom Programmautor Marc Ochsenmeier über eine Mail-Adresse auf dessen Homepage.

Mit dem Tool lässt sich herausfinden, was eine bestimmte Software in sich birgt, ohne sie dazu starten zu müssen. Dazu macht PEStudio sich den Umstand zunutze, dass Malware ihr gefährliches Verhalten zu verbergen sucht, um so der Entdeckung zu entgehen. Dadurch treten jedoch üblicherweise Anomalien und verdächtige Verhaltensweisen zutage. PEStudio versucht, diese Auffälligkeiten zu entdecken, den Anwender anhand von Indikatoren darüber zu informieren und die Vertrauenswürdigkeit der untersuchten Datei zu bewerten.

PEStudio analysiert 32- und 64-Bit-Windows-Programme mit ausführbarem Code (zum Beispiel die Typen EXE, DLL, OCX und SYS) und verrät anschließend unter anderem, welche Bibliotheken und Funktionen sie nutzen und welches Gefahrenpotenzial sich daraus möglicherweise ergibt. Darüber hinaus kann das Tool Antiviren-Engines, die der Google-Webdienst Virustotal hostet, konsultieren, um so zu einer genaueren Einschätzung zu gelangen, ob bzw. welche Malware vorliegt.

Außerdem lässt sich mit PEStudio ein Bericht der durchgeführten Untersuchung im XML-Format erstellen Auf diese Weise soll eine weitere Nutzung durch Third-Party-Analyse-Tools möglich sein.

Neben der GUI-Variante des Tools enthält das Programmpaket auch eine Kommandozeilenversion. Sie lässt sich über die Datei PeStudioPrompt.exe starten und zum Beispiel einfach in Batch-Dateien einbauen.

Installation: PEStudio ist eine portable Software, sodass ein konventionelles Setup entfällt. Einfach die ca. 650 KByte große ZIP-Datei von der Herstellerseite herunterladen, in einen beliebigen Ordner entpacken und die Programmdatei PeStudio.exe starten - fertig.

Bedienung: PEStudio präsentiert sich mit einer recht karg gehaltenen Oberfläche, deren Hauptteil von einer leeren Fläche eingenommen wird. Auf diesen unterhalb von Menü- und Symbolleiste angeordneten Bereich lässt sich per Drag&Drop eine ausführbare Datei ziehen, um mit deren Untersuchung zu beginnen. Das Parsen kann je nach Größe des Files einige Zeit dauern. Zu einem Absturz kam es während des Tests, als wir versuchten, die 20 MByte große Installationsdatei von Audacity zu laden. Dieses Verhalten blieb allerdings die Ausnahme.

Anschließend listet die Software das Resultat der Analyse auf. Im linken Fensterbereich befinden sich verschiedene Kategorien, etwa für Header-Informationen, importierte Bibliotheken oder Funktionen. Näher in Augenschein nehmen sollte der Anwender grundsätzlich alles, was rot hervorgehoben ist, da sich hierunter potenzielle Gefahren verbergen. Ein Klick auf eine Kategorie zeigt detailliertere Informationen rechts daneben an. Dort kann man dann oft per Rechtsklick über das Kontextmenü weitere Befehle aufrufen, etwa um Ressourcen wie Icons zu extrahieren. Meistens allerdings ist die korrekte Interpretation der Daten Profis vorbehalten. Auf jeden Fall sollte man aber einen Blick auf die Ausgabe von Virustotal werfen, denn mit so vielen unterschiedlichen Scan-Engines hantiert ein durchschnittlicher Nutzer im Allgemeinen nicht auf seinem Computer.

Fazit: Wer auf Nummer sicher gehen und erfahren will, welche verborgenen Komponenten heruntergeladene Programme eventuell im Gepäck haben, findet mit PEStudio das passende Tool. Die Software liefert umfangreiche Details zu ausführbaren Windows-Dateien, ist für die Privatnutzung gratis und lässt sich zudem mobil nutzen. Allerdings dürften nur Profis in der Lage sein, alle aufgeführten Informationen richtig einzuordnen. (mje)