Pe Studio Nedir, Ne işe Yarar ?
İlk Öncelikle Pe (Windows Portable Executable) Anlamını Taşır, Windowsun Kullandığı ve Yürütebileceği Dosya Formatını İfade Etmektedir.
Pe Studio, Zararlı Yazılım Analizi Tarafında Kullanılmak için Tasarlanan bir Yazılımdır.
Dosyanın, Genel Anlamda iç yapısını bizlere sunar
Dosyanın iç Yapısını Analiz Etmek Zararlı Yazılım Tespiti Tarafında Önemlidir.
Sadece Zararlı Yazılım Analizi Tarafında değil, Yazılımın Güvenlik Analizi ve Tersine Mühendislik Tarafında da Kullanılmaktadır.
Pe Studio Özellikleri - Kullanımı
1- Dosya Yükleme
Pe Studio ilk Açıldığında Analiz için Sürükle Bırak şeklinde Dosya Yüklenilebilir.
2- Temel Özellikler
Dosya Yüklendikten Sonrasında Dosyanın
Dosya Boyutu
Dosya Türü
Cpu
Entropy Değeri
Dosya Sürümü
Dosya Yolu
Gibi Dosyanın Temel Özelliklerini içeren Sayfa bulunmaktadır.
3- İndicators(Göstergeler)
Dosyanın içeriğindeki Nerelere Yönlendirme yaptığı,
nerelere istek gönderdiği, ve kullandığı Kütüphaneleri bizlere Sunan bir Araçtır
Zararlı Yazılım Analizi Tarafında Oldukça Kullanılmaktadır,
Yazılımı Analiz ederken İstek Gönderdiği yerler sayesinde Tespit Yapılabilir.
4- Footprints(Ayak izleri)
Footprint Ayak İzleri Anlamına Gelir.
Bu Bölümde Programın Ayak izleri Bulunmaktadır.
5- VirusTotal
Burada Yazılımın VirusTotal Sonuçları Bulunmaktadır.
6- Dos Header
Dos Header Uyumluluk Sağlamak Amacıyla Portable Executable Formatındaki Dosyalara Eklenmektedir.
Burada da Aynı Şekilde
Boyut,Entropi Değeri gibi iç özellikler bulunmaktadır.
7- Dos Stub
(Microsoft Disk Operating System) işletim sistemi için kullanılan bir terimdir
bir programın başlangıcında bulunan kısa bir bölümdür ve genellikle birkaç yüz byte boyutundadır. Bu bölüm,
genellikle programın kendisini yükleyen ve çalıştıran bir kod parçasını içerir.
8- Rich Header
Rich Header, product-id build-id ve offset değerleri hakkında bilgi vermektedir
9- File Header
Dosya Başlıklarının Değerlerini Sunar.
10- Optional Header
Optional Header Bölümünde Yazılımın içeriğine ait Byte Değerleri Bulunmaktadır.
11- Directories
Directories Bölümünde Programın Direct Bölümündeki Byte Değerlerini Göstermektedir
12- Sections
.text (code segment)
.rdata (read-only data)
.data (data segment)
.pdata (procedure data)
_RDATA
Bellek Bölümlerinin Boyutunun veya Entropy değeri gibi genel Özelliklerinin bulunduğu Sayfa Bulunur.
13- Libraries
Libraries Bölümünde hangi kütüphanelerin kullanıldığı, dosya ismi, çeşidi, ve kütüphane ismi bulunmaktadır
14- İmports
İmports Bölümünde Library Bölümündeki DLL'lerden Gelen Yüklemeler Bulunmaktadır
15- Strings
String Değerlerin, Byte Değerlerini, Encode şekillerini ve Lokasyonunun Bulunduğu Bölümdür.
16- Debug
Dosya Boyutu,Byte Hex'i,Dosya Adı Bulunan Bölümdür
17- Version(FileDescription)
Version Bölümünde Dosyaya ait Açıklamalar Bulunur