Malware analyseren met PPEE (Puppy)
Statische malwareanalyse met PPEE (Puppy)
Om eventuele malware te herkennen, hoef je de betreffende code niet per se in een geïsoleerde sandbox-omgeving uit te voeren: ook een statische analyse van waarden in de header en tekststrings en resources in het bestand maakt interessante bevindingen mogelijk.
Voor een statische analyse van PEbestanden bestaan allerlei tools, maar slechts enkele daarvan zijn geschikt om malware aan te pakken. Kwaadwillenden gaan uiteraard het liefst zo onopvallend mogelijk te werk. Daartoe veranderen ze headervelden of delen van de bestands-
Als je schadelijke code in software vermoedt en wilt weten of een programma in het geheim vertrouwelijke informatie naar verdachte domeinen stuurt, kun je dat eenvoudig zelf onderzoeken. Daar heb je geen kennis van assembler voor nodig als je de gratis Professional PE file Explorer (PPEE) gebruikt voor exe-, dll- en andere bestanden in het Portable-Executable-formaat.
structuur zodanig dat hun malware nog wel actief is, maar strikt genomen niet meer aan de PE-specificatie voldoet.
Andere tools zijn voor dat doel vaak ongeschikt, maar Professional PE file Explorer (PPEE) – door ontwikkelaar Zaderostam liefdevol Puppy genoemd – levert zeer bruikbare resultaten. De tool is slechts 255 kB groot en is speciaal ontworpen voor het analyseren van malware. PPEE detecteert veelvoorkomende onregelmatigheden in PE-bestanden voor x86en x64-besturingssystemen en levert een overzichtelijk en gedetailleerd inzicht in