PEStudio 8.8x - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Endgültiges Löschen, Passwortverwaltung, etc.

Moderatoren: Jean, Gordon 4.0, Moderatoren

Benutzeravatar
Gordon
Beiträge: 12603
Registriert: 06.01.02, 18:46
Hat sich bedankt: 146 Mal
Danksagung erhalten: 579 Mal

PEStudio 8.8x - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von Gordon » 16.09.10, 18:03

PEStudio

Version: 3.19
Größe: 500 kb
Homepage: http://www.winitor.com/
Lizenz: Freeware
Beschreibung:
PeStudio ermöglicht es, beliebige 32-Bit oder 64-Bit Programme (*.exe, *.dll, *.cpl, *.ocx, *.ax, *.sys, ...) zu analysieren und zu validieren, OHNE diese starten zu müssen!
PeStudio funktionniert auf Windows 32 und 64-Bit und zeigt Ihnen z.B:

* alle Bibliotheken, die von einer Applikation in Anspruch genommen werden
* alle Funktionen, die von einer Applikation importiert werden
* alle Funktionen (auch anonym), die von einer Applikation exportiert werden
* alle Funktionen, die zu anderen Bibliotheken weiter geleitet werden
* alle obsoleten Funktionen, die exportiert und importiert werden
* ob der Data Execution Prevention - DEP Windows-Schutzmechanismus in Anspruch genommen wird
* ob der Address Space Layout Randomization - ASLR Windows-Schutzmechanismus in Anspruch genommen wird
* ob der Structured Exception Handling - SEH Windows-Mechanismus verwendet wird.
* ob Sections komprimiert sind
* ob eine Applikation 64-Bit fähig ist
* ob eine Applikation IL Code entählt
* welche Execution Level eine Applikation in Anspruch nehmen wird
* und vieles mehr...
PEStudio ist eine kleine portable Anwendung zur Überprüfung ausführbarer Dateien.
I am a signature virus. Why don't copy me into your sig?

Benutzeravatar
^L^
Mitglied
Beiträge: 1850
Registriert: 07.12.03, 4:54
Hat sich bedankt: 109 Mal
Danksagung erhalten: 18 Mal

UPDATE: PEStudio 3.66 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von ^L^ » 29.04.12, 8:50

PeStudio Version 3.66 (c) 28. April 2012 Marc Ochsenmeier @ http://www.winitor.com/impressum.html
Updates:

* Version 3.66
. Show presence of Embedded Compressed HTML files in Resources
. Show presence of Embedded Executables files in Resources
. Show Resources instances and their characteristics
. Show MD5 footprint
DL: http://www.winitor.com/index.html (= DOMAINWECHSEL auf englisch!)
www.woxikon.de Übersetzungen Synonyme Reime Abkürzungen 13 Sprachen | ^L^ http://www.denkforum.at/find-new/posts

poiuz
Mitglied
Beiträge: 232
Registriert: 31.01.05, 13:47
Hat sich bedankt: 1 Mal

Re: PEStudio 3..66 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von poiuz » 30.04.12, 21:51

Der Webmaster von winitor.com hat geschrieben:Version 3.67 - updated: 01. May 2012[sic!]
Der Ersteller von ChangeLog.txt in der herunterladbaren ZIP-Datei hat geschrieben:Fixed a bug when handling resources of encrypted/compressed files
Show presence of Embedded Type Library files in Resources
Show presence of Embedded Registry files in Resources

Benutzeravatar
@thehop
Mitglied
Beiträge: 1074
Registriert: 15.07.05, 1:33
Hat sich bedankt: 91 Mal
Danksagung erhalten: 5 Mal

UPDATE: PEStudio 3.69 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von @thehop » 09.05.12, 14:44

*Version 3.69
. Added detection of "Resources Only" images
. Added detection of Borland compiler
. Show presence of Delphi Turbo Pascal Filers (TPF) in Resources

You can download PeStudio (Version 3.69 - updated: 08. May 2012) as a ZIP file for free.
http://www.winitor.com/tools/PeStudio369.zip
PeStudio is based on our own library PeParser which is also part of the package.

Jean
Beiträge: 11139
Registriert: 30.10.01, 12:41
Hat sich bedankt: 5 Mal
Danksagung erhalten: 180 Mal

Re: PEStudio 4.00 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von Jean » 31.10.12, 0:36

neugierige Leute erfreuen sich an v. 4.50
. Correct discovery of Delay-loaded libraries

- Version 4.40
. When handling a resources only image, some validity checks are differents

- Version 4.30
. Enhanced detection of device driver images

Benutzeravatar
Gordon
Beiträge: 12603
Registriert: 06.01.02, 18:46
Hat sich bedankt: 146 Mal
Danksagung erhalten: 579 Mal

Re: PEStudio 5.00 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von Gordon » 17.02.13, 13:43

Version 6.00
. Added Indicator "The image file contains %i unused Bytes (Caves)"
. Added Indicator "The image Name has been Changed"
. Added Indicator "The image original name was %s"
. Added Indicator "The image contains %i bytes of Code"
. Added Indicator "The image contains %i embedded Visual Stylesheet XML Items(s)"
. Added Indicator "The image contains %i Custom Resource Item(s)"
. Added Indicator "The image contains %i Built-in Resources Item(s)"
I am a signature virus. Why don't copy me into your sig?

Benutzeravatar
^L^
Mitglied
Beiträge: 1850
Registriert: 07.12.03, 4:54
Hat sich bedankt: 109 Mal
Danksagung erhalten: 18 Mal

UPDATE: PEStudio 6.91 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von ^L^ » 05.06.13, 14:38

Update, laut Archiv vom 3. Juni 2013 ...
version 6.91
. All lists support right-click context menu
. Added ordering by number in all lists
. Added size in Strings List

version 6.90
. Severity flags (red, yellow color for the UI Indicators) are now read from PeStudioIndicators.XML
. Added support for Sorting by Color for Indicators
. Added support for sorting by Text for lists
. Added detection of PKZIP, PKLITE, PKSFX and JAR Embedded in Resources
. Added new items to PeStudioFunctionsDeprecated.XML file and simplified its format
. Added Indicators for any Directory (e.g. Import Directory) located outside Sections
. Added detection of RTF Embedded in Resources
. Simplified format of PeStudioIndicators.XML
. Changed many Indicators (e.g. Resources, Directories, MachineTarget) to more generic Indicators
. Ignore SEH for managed code
DL: http://www.winitor.com/
www.woxikon.de Übersetzungen Synonyme Reime Abkürzungen 13 Sprachen | ^L^ http://www.denkforum.at/find-new/posts

Benutzeravatar
Gordon
Beiträge: 12603
Registriert: 06.01.02, 18:46
Hat sich bedankt: 146 Mal
Danksagung erhalten: 579 Mal

Re: PEStudio 6.91 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von Gordon » 16.06.13, 16:05

Version 7.01
. Added additional Hints about suspicious size of the Version Resource (some malware place custom stream in standard Windows Resources)
. Added additional Hints about Invalid Directories as Indicator and at the UI
. Extended handling to handle Ollybugs images
I am a signature virus. Why don't copy me into your sig?

Jean
Beiträge: 11139
Registriert: 30.10.01, 12:41
Hat sich bedankt: 5 Mal
Danksagung erhalten: 180 Mal

Re: PEStudio 7.51 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von Jean » 12.11.13, 23:21

inzwischen bei v. 7.8.0

xiaxia
Beiträge: 411
Registriert: 25.09.02, 17:38
Hat sich bedankt: 1 Mal
Danksagung erhalten: 3 Mal

Re: PEStudio 7.80 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von xiaxia » 20.11.13, 10:43

PeStudio 7.84 vom 20.11.13

Version 7.84
. Better detection of hard-coded IP Addresses
. Added <HideImportedFunctionNames> Tag in PeStudioBlackListStrings.xml to hide the strings that are Imported Libraries (with the goal to concentrate on strings that really matter)

Version 7.83
. Extended PeStudioBlackListFunctions.xml
. Added <HideImportedLibraryNames> Tag in PeStudioBlackListStrings.xml to hide the strings that are Imported Libraries (with the goal to concentrate on strings that really matter)

Version 7.82
. Consolidated Indicators about blacklisted Resources Languages
. Show the Resources Tree leaf in Red when a Resource Language has been detected as Blacklisted

Version 7.81
. Added PeStudioBlackLanguages.XML to support detection of Resources Blacklisted Languages

xiaxia
Beiträge: 411
Registriert: 25.09.02, 17:38
Hat sich bedankt: 1 Mal
Danksagung erhalten: 3 Mal

Re: PEStudio 7.84 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von xiaxia » 01.12.13, 9:24

PEStudio 7.86 vom 30.11.13

Added Support for Sections -> Context Menu -> Dump
Added Support for Dumping ICO as RAW and ICO.file format

xiaxia
Beiträge: 411
Registriert: 25.09.02, 17:38
Hat sich bedankt: 1 Mal
Danksagung erhalten: 3 Mal

Re: PEStudio 7.86 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von xiaxia » 03.12.13, 10:32

PEStudio 7.87 vom 02.12.13

. Extended detection of embedded IP Addresses
. Extended malicious usage of Resource Icons
. Added new Indicator for suspicious Resource Icons

xiaxia
Beiträge: 411
Registriert: 25.09.02, 17:38
Hat sich bedankt: 1 Mal
Danksagung erhalten: 3 Mal

Re: PEStudio 7.87 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von xiaxia » 10.12.13, 9:58

PEStudio 7.90 vom 09.12.13
Version 7.90
. Extended detection of fake and missing fields in the File Version Information block
. Show more fields of Version Information block
. Added new Indicators

Version 7.89
. Extended detection of anomalies of File Version Information fields

Version 7.88
. Added detection of signature for the Resources

JayDee49
Beiträge: 121
Registriert: 21.10.01, 15:04
Hat sich bedankt: 2 Mal

Re: PEStudio 7.90 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von JayDee49 » 10.12.13, 17:45

xiaxia hat geschrieben:PEStudio 7.90 vom 09.12.13
ist schon 'ne Nummer weiter... :mrgreen:
Version 7.91
. Extended PeStudioBlackListFunctions.xml
. Fixed a bug when creating the XML report file

xiaxia
Beiträge: 411
Registriert: 25.09.02, 17:38
Hat sich bedankt: 1 Mal
Danksagung erhalten: 3 Mal

Re: PEStudio 7.91 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von xiaxia » 12.12.13, 9:16

PEStudio 7.92 vom 11.12.13

. Added Detection of discrepency between Image Name and Manifest <AssemblyIndentity> and <description> (Hint of reuse of
other Manifest)
. Added Detection of misspelling of the"VarFileInfo" internal tag of the Version Information (Hint to Evasion)

xiaxia
Beiträge: 411
Registriert: 25.09.02, 17:38
Hat sich bedankt: 1 Mal
Danksagung erhalten: 3 Mal

Re: PEStudio 7.92 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von xiaxia » 14.12.13, 11:36

PEStudio 7.93 vom 13.12.13

Added Dumping of Overlay

xiaxia
Beiträge: 411
Registriert: 25.09.02, 17:38
Hat sich bedankt: 1 Mal
Danksagung erhalten: 3 Mal

Re: PEStudio 7.93 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von xiaxia » 17.12.13, 9:07

PEStudio 7.94 vom 16.12.13

. Map Version Translation Information to user friendly string
. Show Version Translation Information Blacklisted Languages
. Extented PeStudioOrdinals.xml to Resolve SNMP functions imported by Ordinals back to their original names

Benutzeravatar
Gordon
Beiträge: 12603
Registriert: 06.01.02, 18:46
Hat sich bedankt: 146 Mal
Danksagung erhalten: 579 Mal

Re: PEStudio 7.943 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von Gordon » 17.01.14, 15:49

Version 8.00
. Fixed a crash when disabling VirusTotal query
. Show the Signature of the files Embedded in the Custom Resources

Version 7.99
. Added Min/Max Threshold checks on HTML Resource size and Extented PeStudioThresholds.xml
. Extented PeStudioIndicators.xml
. Extented PeStudioOrdinals.xml
I am a signature virus. Why don't copy me into your sig?

xiaxia
Beiträge: 411
Registriert: 25.09.02, 17:38
Hat sich bedankt: 1 Mal
Danksagung erhalten: 3 Mal

Re: PEStudio 8.0 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von xiaxia » 20.01.14, 9:22

PEStudio 8.01 vom 19.01.14

Extented PeStudioOrdinals.xml for LDAP by ordinals
Added a Threshold for size of Custom Resources
Extended PeStudioThresholds.xml

xiaxia
Beiträge: 411
Registriert: 25.09.02, 17:38
Hat sich bedankt: 1 Mal
Danksagung erhalten: 3 Mal

Re: PEStudio 8.0.1 - beliebige 32-Bit oder 64-Bit Programme analysieren und validieren

Beitrag von xiaxia » 01.02.14, 10:02

PEStudio 8.0.5 vom 31.01.14

. Extended Features detection
. Extended Blacklisting
. Extended detection of embedded IP Adresses

Version 8.04
. Added Feature detection of Regular Expressions (Regex)
. Added Feature detection of Service Control Manager (SCM)

Version 8.03
. Added "Anomalies" Indicators.
. Added detection of fake Microsoft executables
. Extended "Features"

Version 8.02
. Added PeStudioFeatures.xml
. Added "Features" as part of the "Indicators". Features translates the APIs, and other data into "Features" of the executable
being analysed (e.g. The API "FindFirstUrlCacheEntry()" is translated as "The image accesses the IE Protected Storage" Feature).

Antworten