wivern ロゴ

サイバーセキュリティ&人工知能研究所

サイバーセキュリティや人工知能(機械学習等)を中心に、最新技術を研究しています。


見る価値のある5つの PE 解析ツール

無料の Windows 版 PE 解析ツール5種

見る価値のある5つの PE 解析ツール

リバースエンジニアリングバイブル」の勉強の過程で、PE 解析ツールを探しているときに参考になるサイトを見つけたので、翻訳して紹介させていただきます。

Five PE Analysis Tools Worth Looking At


マルウェア解析の世界では、正しいツールを持つと全てが違ってきます。

悪意のあるバイナリを見ているとき、それらはたいてい Windows ポータブル実行形式( PE )です。そのため、このファイル形式を徹底的に解析できるツールを持つことはいいことで、幸運にも、たくさんの中から選べてそのうちの多くが完全無料です。

第5位 – PEview
ダウンロード

名前からもわかるように、PEview は PE ファイルのビュワーです。Wayne J. Radburn によって、開発と積極的なメンテナンスが行われています。彼のサイトでは、他にもすばらしいソフトウェアを見つけることができます。

PEview は軽量のプログラムで、サイズにして 70kb ほどの小さなスタンドアロン実行ファイルです。基本的な PE 情報を判定するためには、PEview が十分に機能してくれます。


PEview でランサムウェア DLL のエクスポートした名前を観察中

その一方で、機能豊富な PE 解析ツールを探しているなら、PEview は PE について基本的な情報しか提供してくれないので、がっかりするかも知れません。

加えて言うと、PE ファイル形式を勉強していない人には、PEview は探しているであろう情報を探すための助言やヒントを提供してくれないので、使うのが少し難しく感じるかも知れません。にもかかわらず、これらの不便さがあっても、PEview はシンプルな PE 解析のベストなツールのひとつで、見る価値のある PE 解析ツールのリストの第5位にしています。

第4位 – FileAlyzer
ダウンロード

次に紹介する PE 解析ツールは、スパイボットの探索と破壊と同じグループにある、Safer Networking 社の FileAlyzer です。彼等のウェブサイトによると、FileAlyzer という名前は「初期の単なる FileAnalyzer のタイポ」ですが、これで行くことに決めたそうです。

FileAlyzer は、いくつかの新しい機能と同様に基本的な PE 情報を提供することができたり、 UPX PECompact でパックされたファイルのアンパックを自動で行ったり、PEview よりも機能面でより多くを提供してくれます。


FileAlyzer でランサムウェア DLL の PE ヘッダを観察中。
上部にあるタブのそれぞれが異なる機能をもたらすことに注目。

PEview のように、FileAlyzer はあなたが何をしているかを自分でわかっていることを前提としています。しかしながら、VirusTotal と Classification Sources タブのように、また後述するように検索の際にいろいろなウェブの情報を活用して手助けしてくれるといった、悪意のあるファイルを可能な限りすばやく見分ける手助けをしてくれるツールがいくつかあります。

FileAlyzer にあるいくつかの機能:ファイルやプロパティのハッシュ、ヘッダ情報、逆アセンブラ、その他。

このツールで一点私が残念なのはインターフェースです。私よりもこれが自分に合っている人がいるかも知れませんが、ウィンドウをリサイズするとタブが移動するので、正しいものを探そうとしているときにイライラします。おそらくデベロッパは、私達が3位に取り上げたもののように、ユーザーに「ドリルダウン」させて探している情報を見つけられるようにツリー状のインターフェース以上のものにすべきでした。

あなたがインターフェースについてどう感じるかはともかく、FileAlyzer は解析に大量な情報を提供してくれる偉大なツールなので、見る価値のある PE 解析ツールのリストでは第4位です。

第3位 – CFF Explorer
ダウンロード

CFF Explorer は Daniel Pistelli による PE エディタで、NTCore Explorer Suite の一部でもあります。CFF Explorer には、ここで述べている他のツールにも見られるのと同じ機能がたくさんありますが、注目に値するいくつかの優位性があります。

初めて使う人にとっても、FileAlyzer のようなツールよりも扱いやすいインターフェースで、CFF Explorer はすでに言及したツールには見られなかったいくつかの新しい特徴もあります。そうした特徴には、ファイルの識別、アドレスの変換、依存関係のスキャン、インポートされた関数を PE に追加する能力があります。


CFF Explorer でランサムウェア DLL の実行に必要なファイルを識別中。

これらの特徴のいくつか、特にアドレスの変換は、マルウェアの解析にとても役立ち、解析者がアドレス変換を手でやる代わりにすばやく行ってくれます。 Import Adder のような他のツールは、上級の解析者がアンパックされたバイナリを作る必要があるときに役立つだけです。

CFF Explorer はすぐれた PE 解析ツールですが、観察している PE の振る舞いや単純にその PE が何なのかといったことに対するたくさんの手がかりを解析者に提供してくれるわけではありません。Identifier はこれをしようとしますが、かなり不正確で、ときどきその PE に適用されていると考えられるコンパイラやプロテクタの長々したリストが表示されます。とりわけこれはマルウェアを扱っているときに当てはまります。

それでも、CFF Explorer にはたくさんの長所があり、マルウェアの解析者の中ではとてもポピュラーなツールになっています。機能リストが一緒になった使いやすさから、見る価値のある PE 解析ツールの第3位にしているので、もしまだ使っていないならぜひこれを試してください。

第2位 – PEstudio
ダウンロード

PEstudio は、ちょっと面白いツールです。PE 解析ツールに期待する基本的な機能に加えて、PEstudio はファイルにある一定の「標識」に基づく悪意性を判定しようとします。

PEstudio は Marc Ochsenmeier によって開発され、商用利用でなければ無料です。商用利用するユーザーには、PEstudio の PeParser エンジンを特徴とする SDK が一緒に利用可能です。

この標識の動作を説明すると、例えば、観察しているファイルがマイクロソフトのファイルに関係するバージョン情報を持っているとします。しかし、同じファイルは明らかにマイクロソフトからではなく、PEstudio はこの矛盾を知らせてくれます。


PEstudio は解析者をファイルの悪意性判定に導く「標識」を提供します。

標識によって提供される情報は、あなたがすでにファイルに疑いを抱いているときにはときどき便利です。場合によっては提供される情報はあなたの問題解決に十分ですが、どんな場合でも標識はあなたに良い開始点を提供してくれるでしょう。

PEstudio はすばらしいプログラムですが、インターフェースはちょっとさえなくて、特に手製のバイナリを扱っているときにときどき標識が限定された値になります。しかし、あなたの最終ゴールがファイルの潜在的な悪意性を識別するのに力を発揮するプログラムであるなら、PEstudio はすばらしくいい仕事をしますし、それゆえ見る価値のある PE 解析ツールの第2位にしています。

第1位 – Exeinfo PE
ダウンロード

マルウェアの解析をしているときに、私は Exeinfo PE が非常に貴重なツールであることに気づきました。Exeinfo PE は軽量なプログラムで、普通に私のメインの疑問のひとつ「私は何を見ているのか?」に答えてくれます。あなたが探しているであろう正確な情報を、プログラムがあなたに提供するのに失敗するときでも、その代わりにファイルを識別するプロセスの効率化を手助けするすばらしいヒントを提供してくれます。

Exeinfo PE は、いまだたくさんの解析者が使っていて現在はサポートされていない PEiD をいくぶん思い出させるインターフェースを持っていますが、PEiD と違って、Exeinfo PE は活発に開発とメンテナンスがされています。Exeinfo PE はあなたが率直に気にする情報の大部分を提供するのに秀でていて、解析者が探す機能の大部分をそなえています。


Exeinfo PE はこのファイルが何かを検出しませんが、Advanced Scan を実行するヒントを提供します。


Advanced Scan は正しい方向性を示し、このランサムウェア DLL を解析するのにいい開始点を提供します。

他の解析ツールと同様、Exeinfo PE にも残念なところがあります。ファイルを解析するための、あなたのワンストップにはならないでしょう。少なくともマルウェアに関しては、これからもそんなツールはないと思います。

Exeinfo PE が失敗するひとつの領域は、作者が自分のウェブサイトでも述べていますが、古めのパッカーやプロテクターを検出しません。しかし、この目的には PEiD を使うことができます。シャープなインターフェースとたくさんのすばらしい機能があるので、Exeinfo PE を見る価値のある PE 解析ツールの第1位に来ています。

これらのツールを全て見てきましたが、これらの全てがそれぞれですばらしく、それぞれが異なる領域で卓越していることに気づくのは重要です。

また、このリスト以外にもツールはたくさんあるので、いろいろな異なるツールを試してお気に入りを探してください。

最後に、あなたが知っているツールでこのリストに追加できるものがありましたら、気軽にコメント欄に書いてください。読んでくれて、ありがとうございます!

(原文著者の) Joshua Cannell は、Malwarebytes で調査とマルウェア解析を行うマルウェア情報解析者です。 Twitter: @joshcannell


記述に際しては、細心の注意をしたつもりですが、間違いやご指摘がありましたら、こちらからお知らせいただけると幸いです。


→「不正アクセス IP アドレスリスト」
←「DETEKT : スパイウェア・スキャン・ツール」


« 戻る



↓ Now Translating...



↑ Now Translating...

↓ Now Reading...

↑ Now Reading...

↓ Recommending...

↑ Recommending...