Spaziergang durch den Schadcode
Statische Malware-Analyse mit PPEE (Puppy)
Wer Schadfunktionen in einer Software vermutet oder herausfinden will, ob sie heimlich vertrauliche Daten an zwielichtige Domains verschickt, kann selbst einen Blick hineinwerfen. Und zwar ganz ohne Assembler-Kenntnisse – mit dem kostenlosen Professional PE Explorer (PPEE) für EXE-, DLL- und andere Dateien im Portable-Executable-Format.
Um Einblicke in die Funktionsweise einer (potenziellen) Malware zu gewinnen, muss man sie nicht zwingend in einer isolierten Sandbox-Umgebung ausführen: Schon eine statische Analyse von Feldwerten in Datei-Header, enthaltenen Textstrings und Ressourcen lässt interessante Rückschlüsse zu.
Werkzeuge zum statischen Analysieren von PE-Dateien gibt es viele – aber nur wenige können mit Schadcode umgehen. Denn natürlich liegt es nicht im Interesse der Bösewichte, die Funktionsweise ihres Codes preiszugeben. Also manipulieren sie Feldwerte oder Teile der Dateistruktur so, dass ihre Malware zwar noch läuft, streng genommen aber nicht mehr der PE-Spezifikation entspricht.