Il tool Exeinfo
- Antonio Capobianco
- Visite: 3640
Pillole di #MalwareAnalysis
Il tool #Exeinfo
Capire se un file è stato compresso è generalmente un'operazione semplice, basta aprirlo con un editor PE per notare che il nome delle sezioni è stato modificato in qualcosa come UPX0 o ASPACKxxx etc.
A seconda del loro nome un analista esperto è in grado di capire il programma di compressione utilizzato.
Un analista meno esperto però può utilizzare ExeInfo, un tool estremamente semplice che non necessita di installazione.
Exeinfo non solo ci dice immediatamente se il file è stato compresso, ma è in grado anche di identificare il programma di compressione utilizzando arrivando a suggerire persino le istruzioni a riga di comando da lanciare per la decompressione.
Sicuramente un must have nell'arsenale del perfetto malware analyst.