|
Título: 4n4lDetector v1.3 Publicado por: 4n0nym0us en 24 Mayo 2016, 22:13 pm Les traigo la última versión de mi herramienta de análisis de malware. ¡Qué la disfruten! :P
(https://4.bp.blogspot.com/-HgXnwA0DgP4/V0SZRntm2SI/AAAAAAAACFY/N-z0Q3rZPtQ76QACW2qABZoy4TQP90Q7gCKgB/s640/4N4LDetector%2B1.jpg) Descarga: http://www.enelpc.com/p/4n4ldetector.html (http://www.enelpc.com/p/4n4ldetector.html)
Algunos Ejemplos: (https://1.bp.blogspot.com/-Y4xZQYFRW4s/V0SZSGypg0I/AAAAAAAACF0/4lA1xFVUiYo-mP7rOhrXtQP5Mrxl4CbfACKgB/s640/4N4LDetector%2B7.jpg) (https://3.bp.blogspot.com/-pglTkiqLsjA/V0SmllSk00I/AAAAAAAACGM/GYah4sIQM8wc3LJ29RGz6M8MiGc1bothQCLcB/s640/4N4LDetector%2B9.jpg) (https://1.bp.blogspot.com/-2vSoGFJXiic/V0SZRwAs8YI/AAAAAAAACF0/_PjGQ_nwa0cmUBDMkvuERK1I4bDpdpb1ACKgB/s640/4N4LDetector%2B5.jpg) Saludos 4n4les! ;) Título: Re: 4n4lDetector v1.3 Publicado por: El_Andaluz en 25 Mayo 2016, 02:10 am Una pregunta esta herramienta es algo parecido ha Malwarebytes Anti-Malwares ? O es mucho mejor, si no te importa ponernos un vídeo tutorial de como funciona aparte de las imagines no entiendo muy bien.
Sirve para cualquier sistema operativo ? Saludos y gracias por el aporte. Título: Re: 4n4lDetector v1.3 Publicado por: Arnaldo Otegi en 25 Mayo 2016, 17:05 pm Es una herramienta para el analisis de programas,por ejemplo creas una VM y metes este programa,luego cuando te bajes algun archivo que no sabes si esta infectado,antes de pasarlo al pc lo bajas a la Vm y con este programa puedes ver si se conecta a algun dns o algo asi,y asi puedes saber si un archivo que por ejemplo esta cifrado y es indetectable al analisis,pues con esto lo ejecutas y puedes ver si se conecta a algun sitio y demas cosas para saber si un archivo esta infectado aunque este 0/35,y parece que tiene buena pinta, buen aporte socio.
saludos. Título: Re: 4n4lDetector v1.3 Publicado por: El_Andaluz en 25 Mayo 2016, 21:05 pm Es una herramienta para el analisis de programas,por ejemplo creas una VM y metes este programa,luego cuando te bajes algun archivo que no sabes si esta infectado,antes de pasarlo al pc lo bajas a la Vm y con este programa puedes ver si se conecta a algun dns o algo asi,y asi puedes saber si un archivo que por ejemplo esta cifrado y es indetectable al analisis,pues con esto lo ejecutas y puedes ver si se conecta a algun sitio y demas cosas para saber si un archivo esta infectado aunque este 0/35,y parece que tiene buena pinta, buen aporte socio. saludos. Gracias por la explicación pero a que te refieres con crear un VM montarlo en una maquina virtual ?? No puedo hacerlo correr directamente en Windows7 el programa ? Saludos. Título: Re: 4n4lDetector v1.3 Publicado por: Arnaldo Otegi en 25 Mayo 2016, 23:53 pm Te dije en una maquina virtual,porque si tu vas a bajar un archivo que no sabes si estara infectado,pues tu metes este programa en la maquina y bajas el archivo ay,y si al ejecutarlo ves que esta infectado,pues te infectara la makina y no el pc entero,porque si tu lo tienes directamente en el pc,este programa lo que hace es ejecutarlo y ver sus conexiones y demas historias que tendra,y si efectivamente el archivo estaba infectado se te cuela pa dentro el virus,no se si esta herramienta tambien te dice que archivos se crearon al ejecutarse y en que carpeta,haber si me animo hoy o mañana y la pruebo,pero como tu dices el video explicando un poco el funcionamiento seria la ostia.
saludos. Título: Re: 4n4lDetector v1.3 Publicado por: El_Andaluz en 26 Mayo 2016, 00:56 am Te dije en una maquina virtual,porque si tu vas a bajar un archivo que no sabes si estara infectado,pues tu metes este programa en la maquina y bajas el archivo ay,y si al ejecutarlo ves que esta infectado,pues te infectara la makina y no el pc entero,porque si tu lo tienes directamente en el pc,este programa lo que hace es ejecutarlo y ver sus conexiones y demas historias que tendra,y si efectivamente el archivo estaba infectado se te cuela pa dentro el virus,no se si esta herramienta tambien te dice que archivos se crearon al ejecutarse y en que carpeta,haber si me animo hoy o mañana y la pruebo,pero como tu dices el video explicando un poco el funcionamiento seria la ostia. saludos. Pues vaya gracia si me instalo eso directamente, pero para eso existen lo antivirus Inflamable para pasarselo y detectar si tiene algún virus, digo yo a mi antimalware y mi AVG te aseguro que lo detecta todo. Pero viniendo de usuarios desconocidos no podemos fiarnos debería poner que esta libre de virus o eso un vídeo explicando como se ejecuta sería mucho mejor claro esta. Saludos. Título: Re: 4n4lDetector v1.3 Publicado por: Arnaldo Otegi en 26 Mayo 2016, 01:55 am Estas tools son mejor que un av,se tienen en una virtual para evitar que el virus se te ejecute entu pc,pero son las que usan los moderadores para analizar las cosas,los antivirus son una cagada,yo por ejemplo si cojo una foto y la bindeo con un server indetectable a los antivirus,tu vas a analizar por ejemplo con avg,y no vas aver nada,sin envargo si usa esta herramienta y veo que una foto cuando la ejecuto para verla se conecta a abc.ddns.net,ya se que se esta conectando a una direccion no ip y eso las fotos no lo hacen XD por poner un ejmplo,y sigo sin probarla,pero tambien te dira que procesos se abrieron y demas cosas que por ejemplo una simple foto no deberia conectarse a ningun dns,ni abrir procesos o cosas asi,el av le das a analizar y no te dice nada del archivo,solo si esta limpio o no,esta te muestra su funcionamiento despues de ser ejecutado por asi decirlo y tu podras determinar si es un virus o no,si te fias de los antivirus estas jodido,tu en la makina virtual ademas puedes tener un antivirus tambien,te instalas el windows que te guste y bajas de todo sin miedo a infectarte,luego lo analizas y si ves que esta limpio lo puedes pasar al pc,imagino q ya sabras como va virtual box,y en lo de que si esta infectada pienso que no, ya lleva tiempo y digo yo que los mod se encargaran de analizar todos los archivos que se dejan en el foro.
saludos. Título: Re: 4n4lDetector v1.3 Publicado por: MCKSys Argentina en 26 Mayo 2016, 02:00 am Por lo que dice en la web, es sólo un analizador estático:
Citar It is a tool for analysis of Windows executable files, in order to quickly identify if this is or is not a malware. Most analyzes are based on the extraction of strings "ANSI" and "UNICODE" in disk, but also works with "Memory Dumps". Obviously, the latter option might compromise the security of your computer when you run the samples, so it's recommended make this in laboratory systems. Saludos! Título: Re: 4n4lDetector v1.3 Publicado por: El_Andaluz en 26 Mayo 2016, 02:01 am Estas tools son mejor que un av,se tienen en una virtual para evitar que el virus se te ejecute entu pc,pero son las que usan los moderadores para analizar las cosas,los antivirus son una cagada,yo por ejemplo si cojo una foto y la bindeo con un server indetectable a los antivirus,tu vas a analizar por ejemplo con avg,y no vas aver nada,sin envargo si usa esta herramienta y veo que una foto cuando la ejecuto para verla se conecta a abc.ddns.net,ya se que se esta conectando a una direccion no ip y eso las fotos no lo hacen XD por poner un ejmplo,y sigo sin probarla,pero tambien te dira que procesos se abrieron y demas cosas que por ejemplo una simple foto no deberia conectarse a ningun dns,ni abrir procesos o cosas asi,el av le das a analizar y no te dice nada del archivo,solo si esta limpio o no,esta te muestra su funcionamiento despues de ser ejecutado por asi decirlo y tu podras determinar si es un virus o no,si te fias de los antivirus estas jodido,tu en la makina virtual ademas puedes tener un antivirus tambien,te instalas el windows que te guste y bajas de todo sin miedo a infectarte,luego lo analizas y si ves que esta limpio lo puedes pasar al pc,imagino q ya sabras como va virtual box,y en lo de que si esta infectada digo yo que no que ya lleva tiempo y digo que los mod se encargaran de analizar todos los archivos que se dejan en el foro,y usan estas herramientas no antivirus. saludos. Si se lo que es el virtual box lo he tenido instalado hace tiempo para emular cualquier sistema operativo y la maquina virtual hace mas o menos lo mismo. Hombre lo puedo analizar también con el Malwarebytes esos archivos digo yo no se que programa utilizan los moderadores para analizar estos tipos de archivos me imagino que lo revisarán. Bueno pruebalo y nos cuenta que tal. :xD Título: Re: 4n4lDetector v1.3 Publicado por: Arnaldo Otegi en 26 Mayo 2016, 03:15 am el malware bits es un suplemento al antivirus,pero es lo mismo,no da detalles de lo que hace el archivo al ejecutarse,solo dice limpio o infectado,y si es un virus decente te lo comes con patatas,si lo analizas con esto no,porque ya ves el comportamiento del archivo y que modifica,si se conecta a algun sitio,eso segun las opciones que tenga la herramienta,yo esta haber si la pruebo,pero sera una cosa como esta mira te dejo un video para que veas mas o menos lo que hacen estas herramientas,el tio usa n server de un troyano y lo analiza,si ese server lo haces indetectable,aunque lo analices con cuaalquier av normal no podras detectarlo, por eso se usan estas herramientas para analizar las cosas,malware bits es como te dije un suplemento que detecta los virus tipicos registrados en su base de datos,pero a la hora de la verdad es una ***** XD,fiate mejor del AVG,pero si de verdad quieres saber si un archivo esta infectado tendras que usar este tipo de herramientas, hay bastantes por ay, y el video:
nLaFt9qRDgI Título: Re: 4n4lDetector v1.3 Publicado por: fary en 26 Mayo 2016, 09:06 am Es una herramienta interesante :p
Título: Re: 4n4lDetector v1.3 Publicado por: 4n0nym0us en 26 Mayo 2016, 10:27 am Hola qué tal? respondo para todo aquel que tenga dudas:
El punto fuerte de la herramienta es el análisis estático, la opción de los memory dumps para mi es algo secundario, porque esto supone ejecutar la muestra y para eso te montas un cuckoo. Esta mira las estructuras lógicas del PE, en busca de anomalías a causa de modificaciones del binario tras su compilación. Tiene detecciones de métodos para la evasión antivirus, crypters y binders, injertos en code caves, modificaciones de la firma Rich de Microsoft, detección de Payloads y Shellcodes, packers, extracción de strings como rutas, nombres de archivos, emails, IPs, SQL Queries, búsquedas de códigos maliciosos tras los Entry Points, tales como algoritmos o saltos, extracción de claves de registro, verificaciones de la integridad del binario, un modo nuevo para visualizar cadenas que puedan contener información extra, métodos Anti-Debug, Configs de Rats... La inteligencia para saber si la muestra que te encuentras analizando es un malware, eres tú. PD: El_Andaluz, ya te digo yo que ni tu antimalware, ni tu AVG, te van a proteger de todo. ;) Título: Re: 4n4lDetector v1.3 Publicado por: El_Andaluz en 26 Mayo 2016, 16:29 pm Citar PD: El_Andaluz, ya te digo yo que ni tu antimalware, ni tu AVG, te van a proteger de todo. ;) Hombre de todo no pero de lo básico si algo es algo. ;D Lo que si nos gustaría o por lo a mi, si a ti no te importa es que pusieras algún vídeo tutorial de como funcionar el programa. Saludos. Título: Re: 4n4lDetector v1.3 Publicado por: 4n0nym0us en 26 Mayo 2016, 16:42 pm El uso es muy sencillo, tan solo hay que arrastrar la muestra a la caja negra. También puedes lanzarla por consola como indica el Leeme.txt o desde el desplegable del botón derecho tras instalar el .REG, que 4n4lDetector crea en la carpeta raíz al ejecutarse.
(https://media.giphy.com/media/3o6EhHge2PPfgHu2ZO/giphy.gif) 4n4lDetector solo muestra lo que encuentra. Lo más complejo puede ser entender la información, pero eso depende del nivel del analista. Saludos! :) MOD EDIT: Imagen redimensionada al maximo acotumbrado en el foro. Título: Re: 4n4lDetector v1.3 Publicado por: Arnaldo Otegi en 26 Mayo 2016, 18:02 pm Yo ya la probe y funciona perfecta,lo que estaria bien es que enseñase el nombre del dns al que se conecta,pero por lo demas esta mui bien y mui completa.
saludos. Título: Re: 4n4lDetector v1.3 Publicado por: 4n0nym0us en 26 Mayo 2016, 20:45 pm Holaaa! me alegro de que te guste! la herramienta no realiza peticiones a internet, con lo que quizás en un futuro agregue alguna opción para hacer resoluciones dns y cosas por el estilo... por ahora me centro en los binarios, que tienen para mucho jeje
Saludos! :P Título: Re: 4n4lDetector v1.3 Publicado por: Luis Leon B en 3 Agosto 2017, 06:25 am ¿Sigues trabajando en esto? en qué lenguaje lo haces? Pasa el source si no :P
Título: Re: 4n4lDetector v1.3 Publicado por: 4n0nym0us en 16 Octubre 2017, 22:29 pm Disculpa la tardanza... me había ido a comprar tabaco :P
Tengo una versión más actual publicada en http://www.enelpc.com/p/4n4ldetector.html (http://www.enelpc.com/p/4n4ldetector.html), aunque la versión incorporada dentro del debugger se encuentra más pulida http://www.enelpc.com/p/enelpc-dbg.html (http://www.enelpc.com/p/enelpc-dbg.html). No obstante ya estoy desarrollando una que puede quedar fina filipina.. además de corregir varios fallos traerá cosas nuevas como creación de reglas de detección simples personalizadas desde un archivo, se extraen los nombres de las secciones además de idetificación de las que contienen el flag de código ejecutable y alguna cosa más, no tardaré en publicarla. Secciones: https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22382434_10155687767377970_6893889858829389863_o.jpg?oh=3bc7fd40c66f0dc7f32eeb974914f9c5&oe=5A6EC659 (https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22382434_10155687767377970_6893889858829389863_o.jpg?oh=3bc7fd40c66f0dc7f32eeb974914f9c5&oe=5A6EC659) 4n4lRules: https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22290082_10155674573457970_3852618583063143953_o.jpg?oh=ebab4db0a137cb641315793df8a1b7c6&oe=5A698D43 (https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22290082_10155674573457970_3852618583063143953_o.jpg?oh=ebab4db0a137cb641315793df8a1b7c6&oe=5A698D43) Un saludo! Título: Re: 4n4lDetector v1.3 Publicado por: El_Andaluz en 17 Octubre 2017, 16:40 pm 4n0nym0us: Buenas y ante de todo gracias por el aporte y actualizar esta genial herramienta me gustaría saber si le has añadido alguna opción de que este en Español por lo que veo esta todo en ingles espero que no tardes mucho entrar y ver mi sugerencia. ;D
Y una ultima pregunta cuando va ser la definitiva o tendrás que hacer mas versiones ? Título: Re: 4n4lDetector v1.3 Publicado por: 4n0nym0us en 17 Octubre 2017, 21:27 pm En cuanto al idioma es la primera herramienta que publiqué desde su inicio en inglés y no tengo pensado agregar el español, creo que es bastante intuitiva y no tiene demasiados botones como para llegar a confusiones, si hay dudas me pueden contactar sin problemas.
Sobre lo de saber cuando será la versión final, no lo tengo claro, supongo que cuando me aburra de ella o tenga otros proyectos en mente que me roben el tiempo.. por ahora solo tengo Insanity Protector, mientras no se terminen las ideas ;) Saludos! |