Die Schatzkarte zur PE-Datei – X markiert den Header!
Cisplatin – ein Name, der normalerweise eher in Chemielabors fällt, findet nun auch Anwendung in der Welt der PE-Dateien. Doch keine Sorge, dieses „Cisplatin“ erfordert werder Kenntnisse in Chemie, noch ist eine Laborausrüstung nötig. Statt Tumorzellen anzugreifen, widmet sich das Cisplatin – PE file investigation tool der Analyse von Portable Executable-Dateien. Es dringt tief in die molekulare Struktur digitaler Exe-Dateien ein, enthüllt ihre Geheimnisse und sorgt dafür, dass selbst komplexeste PE-Header plötzlich ganz harmlos aussehen.
Kosten?
Ich stelle das Programm für alle die es benötigen kostenlos zur Verfügung.
Download
Der Weg zur Erkenntnis beginnt mit einem Klick. Lade Cisplatin – PE file investigation tool herunter und tauche ein in die Tiefen der PE-Dateistrukturen. Keine chemische Schutzkleidung erforderlich!
Name | Version | Hash |
---|---|---|
Cisplatin – PE file investigation tool (Windows) | Version 1.0.0 | SHA256: 97C00E840057C53AED4E90CFC54470F523BEE75F8388D561EEAAFC3B760214A2 |
Bevor ich Cisplatin hier veröffentlicht habe, wurden von mir natürlich einige Tests durchgeführt. Leider wird mein Programm durch die Compilierung mit Nuitka vom Windows-Defender als Malware eingestuft. Ich habe nach kurzer Recherche herausgefunden, das diese False-Positives noch andere Entwickler und Antivierenprogramme betreffen.
Bitte immer den Datei-Hash abgleichen, nachdem ihr das Programm heruntergeladen habt. Die Ausgabe des Hash-Werts einer Datei ist mit Powershell wie folgt möglich:
Get-FileHash .\Cisplatin.exe
SHA256 97C00E840057C53AED4E90CFC54470F523BEE75F8388D561EEAAFC3B760214A2 C:\Users\...
Entwicklung von Cisplatin
Da das mein erstes Tool ohne Codeeinsicht ist, möchte ich an dieser Stelle trotzdem für ein wenig Transparenz sorgen. In der folgenden Tabelle wurden zentrale Entwicklungsbausteine zusammengetragen:
Entwickler | Sven Herz |
Veröffentlichungsdatum | Semptember 2024 |
Entwicklung | Python |
Compiler | * Nuitka (.py in .exe) |
Abfragen | ** VirusTotal |
* Bei der Compilierung mit Nuitka kommt es immer wieder zu Problemen mit Antivirenprogrammen. Grund ist unter Anderem das verpacken und komprimieren vieler Imports und sonstigen Abhängigkeiten in eine .exe-Datei.
** Abfragen an VirusTotal erfolgen ausschließlich mit Hash-Werten. Diese Abfragen können in den Einstellungen auch deaktiviert werden.
Einstellungen
Sämtliche Einstellungsmöglichkeiten sind im folgende aufgelistet:
Hervorhebung
Die Hervorhebungen dienen zur schnelleren Orientierung und ersten Einschätzung der Werte.
Einstellung | Beschreibung |
---|---|
Keine Auffälligkeiten | Hervorhebung besonders relevanter Parameter (grün). |
Suspekt | Hervorhebung suspekter Dateieigenschaften (gelb). |
Potentiell Maliziös | Hervorhebung potentiell maliziöser Dateieigenschaften (rot). |
Bewertung | Hervorhebung der automatischen Bewertung (blau). |
Bewertung
Die Bewertung ist eine automatisierte Ersteinstufung der Datei. Diese erfolgt durch gefundene Indikatoren und bezieht auch Ergebnisse von VirusTotal ein (natürlich nur, wenn die VirusTotal-Abfrage aktiviert wurde). An dieser Stelle möchte ich nochmal darauf hinweisen, dass es sich lediglich um eine Ersteinschätzung handelt. Eine fehlerhafte Bewertung kann nie ausgeschlossen werden.
Einstellung | Beschreibung |
---|---|
Bewertung | Bewertung aktivieren oder deaktivieren. |
Hex-View
Die Hex-View zeigt die hexadezimale Ansicht der Datei. Sind die zu untersuchenden Dateien zu groß, wird die View mit einem entsprechenden Hinweis deaktiviert. Dieses Feature ist sehr Ressourcenintensiv und kann daher, je nach Dateigröße und Hardware, einige Zeit dauern. Es macht also machmal Sinn, dieses Feature bei größeren Dateien zu deaktivieren.
Einstellung | Beschreibung |
---|---|
Hex-View | Hex-View aktivieren oder deaktivieren. |
Strings
Die Strings werden standartmäßig ab einer Länge von 2 detektiert und aufgelistet. Die Detektionslänge kann hier angepasst werden. Auch dieses Feature ist sehr Ressourcenintensiv und kann daher, je nach Dateigröße und Hardware, einige Zeit dauern.
Einstellung | Beschreibung |
---|---|
[2] | Stringlänge für Suche anpassen. |
VirusTotal
Die VirusTotal-Abfrage wird mit einem Hash-Wert, der zu untersuchenden Datei, durchgeführt. Die Abfrage kann hier angepasst, aktiviert oder deaktiviert werden.
Einstellung | Beschreibung |
---|---|
VirusTotal-Abfrage | Aktiviert / Deaktiviert VirusTotal-Abfrage. |
SHA-256 | Hashwert der bei VirusTotal abgefragt wird. |
Tmp. Logs
Das Feature Tmp. Logs ermöglicht eine temporäre Aufzeichnung der durchgeführten Aktionen. Dadurch kann ein Forensiker am Ende einer Untersuchung nachvollziehen, was er innerhalb des Programms ausgeführt hat. Wieso das Tmp in Tmp. Logs? Die Logs werden, zumindest momentan noch, aus Performancegründen nur temporär angelegt. Also nur dann, wenn das Fenster geöffnet ist (auch wenn es minimiert ist). Wird das Log-Fenster geschlossen, werden die Logs „gelöscht“, bzw. der Speicher freigegeben.
Meine Empfehlung wäre daher, vor Beginn einer Untersuchung das Programm zu starten und die Logs zu aktivieren. Dieses Fenster kann anschließend minimiert und die Logs bei Bedarf in den Bericht aufgenommen werden.
Bericht
In Cisplatin kann ein detaillierter Bericht erstellt werden, der einen umfassenden Überblick über die Struktur und Merkmale der untersuchten PE-Datei bietet. Der Bericht ist so aufgebaut, dass er nicht nur technische Details der Datei beinhaltet, sondern auch potenzielle Anomalien und Auffälligkeiten hervorhebt.
In den Bericht-Settings kann der Analyst auswählen, welche Bereiche dem Bericht hinzugefügt werden sollen. Die farbliche Hervorhebung hingegen hängt von den gesetzten Optionen ab, die in den Einstellungen festgelegt wurden.
Hervorhebungen
Die farbliche Hervorhebung im Bericht – grün für „alles in bester Ordnung“, gelb für „hm, besser mal genauer hinsehen“ und rot für „oje, das sieht übel aus“ – sollen eine erste Orientierungshilfe für den Forensiker bieten. Wer braucht schon mühsame Analysen, wenn Farben so viel sagen können? Grün beruhigt, gelb weckt den Detektiv in einem, und rot? Nun ja, das lässt den Puls schon mal nach oben schießen. Praktisch, oder?
Für die, die sich nicht von bunten Warnsignalen aus der Ruhe bringen lassen wollen, gibt’s natürlich auch die Option, die Hervorhebungen einfach auszuschalten. Schließlich gibt es Menschen, die lieber ganz nüchtern durch das Datenlabyrinth waten, ohne dass eine leuchtende Ampel den Weg weist. Allerdings werden dadurch nur die Marker entfernt, die Schriftfarbe ändert sich nicht.
Diagramm
Cisplatin bietet eine grafische Darstellung der PE-Dateisektionen, bei der virtuelle Größe und Raw-Size nebeneinander visualisiert werden. So wird das Verhältnis der einzelnen Sektionen auf einen Blick sichtbar – keine Notwendigkeit mehr, in Zahlenkolonnen nach Auffälligkeiten zu suchen! Das Diagramm liefert eine übersichtliche und anschauliche Darstellung, die es einfacher macht, verdächtige Abweichungen zu erkennen. Besonders praktisch: Durch einen einfachen Klick auf eine Sektion in der Tabelle neben dem Diagramm werden diese direkt hervorgehoben – ein interaktives Highlight für die visuelle Analyse.
Hex-Viewer
Der Hex-Viewer in Cisplatin ist wie ein Mikroskop für Bytes. Er bietet eine gute Übersicht über die Verteilung, sowie ungenutzter Bereiche. Ein Klick, und schon offenbart sich, was in den Tiefen der Datei schlummert. Allerdings ist die darstellbare Größe auf 80 MB (Megabyte) große Dateien begrenzt.
Und noch ein Tipp: So viel Analyse und Aufbereitung braucht Power! Für diejenigen, die Ressourcen sparen möchten, lässt sich der Hex-Viewer ganz einfach in den Einstellungen deaktivieren. So kann Cisplatin auch für leistungsschwächere Systeme und größeren Dateien eingesetzt werden.
Rechtliches
Haftungsausschluss
Das Programm wird ohne jegliche Garantie oder Gewährleistung bereitgestellt. Der Entwickler haftet nicht für Schäden, Datenverluste oder andere Probleme, die durch die Nutzung des Programms entstehen.
Datenschutz
Dieses Programm sammelt keine personenbezogenen Daten. Für etwaige externe Dienste, die in das Programm integriert sind, gelten die jeweiligen Datenschutzrichtlinien dieser Anbieter. Diese Dienste können in den Programmeinstellungen deaktiviert werden.
Updates und Änderungen
Der Entwickler behält sich das Recht vor, das Programm jederzeit zu ändern, neue Versionen zu veröffentlichen oder den Support einzustellen, ohne vorherige Ankündigung.
Verbotene Nutzung
Es ist verboten, das Programm für illegale Zwecke zu nutzen.