정적 분석 도구 PEStudio 설명

PEStudio는 정적 분석 도구 중 최고의 도구라고 생각한다.

파일의 문자열, 사용하는 API 함수, 파일 해시 및 기본 정보들을 한 눈에 보기 쉽게 표시되기 때문이다. 또한 악성코드에 자주 사용되는 것들을 빨간색으로 표시하며 위험한 수치와 어떤 것들이 위험한지 쉽게 알 수 있다.

PEStudio 다운로드 링크 주소 : https://www.winitor.com/

 

아래 화면은 PEStudio에 악성코드를 올린 첫 화면인데, 파일 고유의 해시 값과 파일 크기, 파일 종류 등을 표시해준다.

왼쪽에 indicators 항목을 클릭하게 되면, 해당 파일의 중요한 정보들을 위험도 순으로 정렬되어 나타난다. 아래 화면에서는 IP 주소와 도메인주소 패턴에 위험도를 제일 높게 평가하였다.

 

indicators

VirusTotal 항목은 인터넷이 연결된 환경에서 해당 파일이 VirusTotal 백신사의 탐지율이 나타나며 각 백신사가 진단하는 탐지명들을 확인할 수 있다.

또한 Peview로 확인할 수 있는 파일의 헤더 정보들을 보기쉽게 확인할 수 있으며

악성코드가 주로 사용하는 API 함수 및 String에 대해 블랙리스트 표시를 하여 분석가의 분석 시간을 단축시켜 준다.

imports 함수

위에 스트링 값에서 IP 주소와 도메인 주소를 확인할 수 있었는데, 위 그림에서는 네트워크 소켓 관련 함수들을 확인할 수 있다. 이 두 점으로 보아 정적 분석 만으로도

악성코드가 특정 IP와 C&C 통신을 할 것이라고 짐작이 가능하며, 상세 분석 시 분석 시간을 단축할 수 있게 된다.

PEStudio는 기존 정적 분석 시 필요한 툴들을 통합해 놓은 프로그램이라고 생각한다.

패킹된 경우 PEStudio로 중요한 정보들을 얻을 수는 없지만, 그렇지 않은 경우라면 분석가에 굉장히 많은 도움을 주는 도구이다.