O PEStudio é uma ferramenta gratuita para Windows que faz triagem estática de arquivos PE (EXE, DLL, SYS) sem executá-los. Em segundos exibe dezenas de indicadores que o analista teria de consultar manualmente: imports suspeitos, strings em blacklist, nomes anormais de seção, status de assinatura, recursos, manifesto, version info e hits no VirusTotal.

É a primeira parada de muitos analistas antes de decidir entre detonar no sandbox ou abrir no Ghidra/IDA.

• Primeira olhada rápida em anexo suspeito
• Confirmação de assinatura digital e signatário
• Identificação de packers, strings anti-VM e APIs suspeitas