Cisplatin – PE file investigation tool

Die Schatzkarte zur PE-Datei – X markiert den Header!

Cisplatin – ein Name, der normalerweise eher in Chemielabors fällt, findet nun auch Anwendung in der Welt der PE-Dateien. Doch keine Sorge, dieses „Cisplatin“ erfordert werder Kenntnisse in Chemie, noch ist eine Laborausrüstung nötig. Statt Tumorzellen anzugreifen, widmet sich das Cisplatin – PE file investigation tool der Analyse von Portable Executable-Dateien. Es dringt tief in die molekulare Struktur digitaler Exe-Dateien ein, enthüllt ihre Geheimnisse und sorgt dafür, dass selbst komplexeste PE-Header plötzlich ganz harmlos aussehen.

Kosten?

Ich stelle das Programm für alle die es benötigen kostenlos zur Verfügung.

Download

Der Weg zur Erkenntnis beginnt mit einem Klick. Lade Cisplatin – PE file investigation tool herunter und tauche ein in die Tiefen der PE-Dateistrukturen. Keine chemische Schutzkleidung erforderlich!

NameVersionHash
Cisplatin – PE file investigation tool (Windows)Version 1.0.0SHA256: 97C00E840057C53AED4E90CFC54470F523BEE75F8388D561EEAAFC3B760214A2

Bevor ich Cisplatin hier veröffentlicht habe, wurden von mir natürlich einige Tests durchgeführt. Leider wird mein Programm durch die Compilierung mit Nuitka vom Windows-Defender als Malware eingestuft. Ich habe nach kurzer Recherche herausgefunden, das diese False-Positives noch andere Entwickler und Antivierenprogramme betreffen.

Bitte immer den Datei-Hash abgleichen, nachdem ihr das Programm heruntergeladen habt. Die Ausgabe des Hash-Werts einer Datei ist mit Powershell wie folgt möglich:

Get-FileHash .\Cisplatin.exe
SHA256          97C00E840057C53AED4E90CFC54470F523BEE75F8388D561EEAAFC3B760214A2       C:\Users\...

Entwicklung von Cisplatin

Da das mein erstes Tool ohne Codeeinsicht ist, möchte ich an dieser Stelle trotzdem für ein wenig Transparenz sorgen. In der folgenden Tabelle wurden zentrale Entwicklungsbausteine zusammengetragen:

EntwicklerSven Herz
VeröffentlichungsdatumSemptember 2024
EntwicklungPython
Compiler* Nuitka (.py in .exe)
Abfragen** VirusTotal

* Bei der Compilierung mit Nuitka kommt es immer wieder zu Problemen mit Antivirenprogrammen. Grund ist unter Anderem das verpacken und komprimieren vieler Imports und sonstigen Abhängigkeiten in eine .exe-Datei.

** Abfragen an VirusTotal erfolgen ausschließlich mit Hash-Werten. Diese Abfragen können in den Einstellungen auch deaktiviert werden.

Einstellungen

Sämtliche Einstellungsmöglichkeiten sind im folgende aufgelistet:

Hervorhebung

Die Hervorhebungen dienen zur schnelleren Orientierung und ersten Einschätzung der Werte.

EinstellungBeschreibung
Keine AuffälligkeitenHervorhebung besonders relevanter Parameter (grün).
SuspektHervorhebung suspekter Dateieigenschaften (gelb).
Potentiell MaliziösHervorhebung potentiell maliziöser Dateieigenschaften (rot).
BewertungHervorhebung der automatischen Bewertung (blau).
Bewertung

Die Bewertung ist eine automatisierte Ersteinstufung der Datei. Diese erfolgt durch gefundene Indikatoren und bezieht auch Ergebnisse von VirusTotal ein (natürlich nur, wenn die VirusTotal-Abfrage aktiviert wurde). An dieser Stelle möchte ich nochmal darauf hinweisen, dass es sich lediglich um eine Ersteinschätzung handelt. Eine fehlerhafte Bewertung kann nie ausgeschlossen werden.

EinstellungBeschreibung
BewertungBewertung aktivieren oder deaktivieren.
Hex-View

Die Hex-View zeigt die hexadezimale Ansicht der Datei. Sind die zu untersuchenden Dateien zu groß, wird die View mit einem entsprechenden Hinweis deaktiviert. Dieses Feature ist sehr Ressourcenintensiv und kann daher, je nach Dateigröße und Hardware, einige Zeit dauern. Es macht also machmal Sinn, dieses Feature bei größeren Dateien zu deaktivieren.

EinstellungBeschreibung
Hex-ViewHex-View aktivieren oder deaktivieren.
Strings

Die Strings werden standartmäßig ab einer Länge von 2 detektiert und aufgelistet. Die Detektionslänge kann hier angepasst werden. Auch dieses Feature ist sehr Ressourcenintensiv und kann daher, je nach Dateigröße und Hardware, einige Zeit dauern.

EinstellungBeschreibung
[2]Stringlänge für Suche anpassen.
VirusTotal

Die VirusTotal-Abfrage wird mit einem Hash-Wert, der zu untersuchenden Datei, durchgeführt. Die Abfrage kann hier angepasst, aktiviert oder deaktiviert werden.

EinstellungBeschreibung
VirusTotal-AbfrageAktiviert / Deaktiviert VirusTotal-Abfrage.
SHA-256Hashwert der bei VirusTotal abgefragt wird.

Tmp. Logs

Das Feature Tmp. Logs ermöglicht eine temporäre Aufzeichnung der durchgeführten Aktionen. Dadurch kann ein Forensiker am Ende einer Untersuchung nachvollziehen, was er innerhalb des Programms ausgeführt hat. Wieso das Tmp in Tmp. Logs? Die Logs werden, zumindest momentan noch, aus Performancegründen nur temporär angelegt. Also nur dann, wenn das Fenster geöffnet ist (auch wenn es minimiert ist). Wird das Log-Fenster geschlossen, werden die Logs „gelöscht“, bzw. der Speicher freigegeben.

Meine Empfehlung wäre daher, vor Beginn einer Untersuchung das Programm zu starten und die Logs zu aktivieren. Dieses Fenster kann anschließend minimiert und die Logs bei Bedarf in den Bericht aufgenommen werden.

Bericht

In Cisplatin kann ein detaillierter Bericht erstellt werden, der einen umfassenden Überblick über die Struktur und Merkmale der untersuchten PE-Datei bietet. Der Bericht ist so aufgebaut, dass er nicht nur technische Details der Datei beinhaltet, sondern auch potenzielle Anomalien und Auffälligkeiten hervorhebt.

In den Bericht-Settings kann der Analyst auswählen, welche Bereiche dem Bericht hinzugefügt werden sollen. Die farbliche Hervorhebung hingegen hängt von den gesetzten Optionen ab, die in den Einstellungen festgelegt wurden.

Hervorhebungen

Die farbliche Hervorhebung im Bericht – grün für „alles in bester Ordnung“, gelb für „hm, besser mal genauer hinsehen“ und rot für „oje, das sieht übel aus“ – sollen eine erste Orientierungshilfe für den Forensiker bieten. Wer braucht schon mühsame Analysen, wenn Farben so viel sagen können? Grün beruhigt, gelb weckt den Detektiv in einem, und rot? Nun ja, das lässt den Puls schon mal nach oben schießen. Praktisch, oder?

Für die, die sich nicht von bunten Warnsignalen aus der Ruhe bringen lassen wollen, gibt’s natürlich auch die Option, die Hervorhebungen einfach auszuschalten. Schließlich gibt es Menschen, die lieber ganz nüchtern durch das Datenlabyrinth waten, ohne dass eine leuchtende Ampel den Weg weist. Allerdings werden dadurch nur die Marker entfernt, die Schriftfarbe ändert sich nicht.

Diagramm

Cisplatin bietet eine grafische Darstellung der PE-Dateisektionen, bei der virtuelle Größe und Raw-Size nebeneinander visualisiert werden. So wird das Verhältnis der einzelnen Sektionen auf einen Blick sichtbar – keine Notwendigkeit mehr, in Zahlenkolonnen nach Auffälligkeiten zu suchen! Das Diagramm liefert eine übersichtliche und anschauliche Darstellung, die es einfacher macht, verdächtige Abweichungen zu erkennen. Besonders praktisch: Durch einen einfachen Klick auf eine Sektion in der Tabelle neben dem Diagramm werden diese direkt hervorgehoben – ein interaktives Highlight für die visuelle Analyse.

Hex-Viewer

Der Hex-Viewer in Cisplatin ist wie ein Mikroskop für Bytes. Er bietet eine gute Übersicht über die Verteilung, sowie ungenutzter Bereiche. Ein Klick, und schon offenbart sich, was in den Tiefen der Datei schlummert. Allerdings ist die darstellbare Größe auf 80 MB (Megabyte) große Dateien begrenzt.

Und noch ein Tipp: So viel Analyse und Aufbereitung braucht Power! Für diejenigen, die Ressourcen sparen möchten, lässt sich der Hex-Viewer ganz einfach in den Einstellungen deaktivieren. So kann Cisplatin auch für leistungsschwächere Systeme und größeren Dateien eingesetzt werden.

Rechtliches

Haftungsausschluss

Das Programm wird ohne jegliche Garantie oder Gewährleistung bereitgestellt. Der Entwickler haftet nicht für Schäden, Datenverluste oder andere Probleme, die durch die Nutzung des Programms entstehen.

Datenschutz

Dieses Programm sammelt keine personenbezogenen Daten. Für etwaige externe Dienste, die in das Programm integriert sind, gelten die jeweiligen Datenschutzrichtlinien dieser Anbieter. Diese Dienste können in den Programmeinstellungen deaktiviert werden.

Updates und Änderungen

Der Entwickler behält sich das Recht vor, das Programm jederzeit zu ändern, neue Versionen zu veröffentlichen oder den Support einzustellen, ohne vorherige Ankündigung.

Verbotene Nutzung

Es ist verboten, das Programm für illegale Zwecke zu nutzen.