elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  4n4lDetector v1.1
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: 4n4lDetector v1.1  (Leído 9,842 veces)
4n0nym0us

Desconectado Desconectado

Mensajes: 41



Ver Perfil WWW
4n4lDetector v1.1
« en: 14 Junio 2015, 19:42 pm »

Sencillamente se trata de una nueva herramienta para hacer análisis sobre archivos ejecutables de Windows, con el objetivo de identificar de forma rápida, si este se trata o no de un malware. La mayoría de análisis se basan en la extracción de strings “ANSI” y “UNICODE” de los ejecutables en disco, aunque también trabaja con “Memory Dumps” de los binarios que analicemos. Como es lógico, esta última opción podría comprometer la seguridad de su equipo al ejecutar las muestras, con lo que se recomienda hacerlo en sistemas de laboratorio. Desde la ayuda de esta aplicación, se puede ver todo lo que es capaz de analizar, algo que seguirá creciendo y puliéndose en base a nuevas versiones.

  • Agregada una línea de comando, que escribe el reporte en la raíz.
      Uso -> (4n4lDetector.exe c:\malware.exe)
  • Agregadas nuevas palabras al módulo "Interest Words".
  • Agreada la extracción del campo Subsystem, asociada al tipo de aplicación y Size Of Image.
  • Corregido un bug en la representación de las posibles compilaciones escondidas detrás de UPX.
  • Incluidos nuevos ejecutables para extraer líneas de comandos.
  • Incluida la extracción de nuevas rutas de registro.
  • Agregada la extracción de nuevas API, detecciones de llamadas a funciones mediante Call API By Name, Call API By Hash y mZombieInvoke.
  • Agregado un nuevo binario, para ejecutar librerías x86 en memoria, dentro del modo de ejecución.
  • Detección de métodos Anti Deep Freeze.
  • Mejorada la extracción de URLs Unicode.
  • Reorganización de búsqueda de información sobre binarios no ejecutables.
  • Detección de falta de permisos para el acceso a los binarios a analizar.
  • Rutina de detección de ejecutables Dropper, para Crypters, Joiners y Binders.
  • Rutina de extracción de rutas con binarios ejecutables mejorada.

Imagen


Descarga:
http://www.enelpc.com/p/4n4ldetector.html
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: 4n4lDetector v1.1
« Respuesta #1 en: 15 Junio 2015, 11:25 am »

En Windows XP (32-bits) muestra varios mensajes de errores del RunTime al intentar probarlo: "Invalid procedure call or argument", "Path not found".

En Windows 7 (32/64-bits) funcionó como deberia supongo.

En Windows 8.1 (64-bits) el programa genera una excepcion sin mostrar algun mensaje y se cierra. Lo intenté con programas como notepad, mspaint y con muestras.
En línea

4n0nym0us

Desconectado Desconectado

Mensajes: 41



Ver Perfil WWW
Re: 4n4lDetector v1.1
« Respuesta #2 en: 15 Junio 2015, 11:53 am »

Muchas gracias por el testing!!  :-*

La aplicación se encuentra desarrollada en Visual Basic 6 y he trabajado con ella en Windows 7 64 bits y 8.1 64 bits sin problemas. En XP ni lo he mirado la verdad, pero puede tratarse del List para hacer Drag&Drop, le echaré un vistazo.

Saludos!  ;D
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: 4n4lDetector v1.1
« Respuesta #3 en: 15 Junio 2015, 18:16 pm »

En mi 8.1 no muestra nada solo se cierra. Otra cosa: ¿Aceptando criticas constructivas? ->
Ya que es un aplicación basada en el escaneo de la imagen PE y ciertos patrones que se encuentren puede que te interese agregar caracteristicas como:

- Detección de anomalias en la imagen PE: Analisis del Rich Signature, Secciónes de código con privileges inusuales ( Ejecución y escritura ), analysis de FileHeader->TimeDataStamp, analisisi de OptionalHeader->CheckSum, numero de secciones y muchisimas cosas que se pueden analizar.
- Escaneo y analisis de todos los directorios del PE:
    + Import/IAT: Blacklist de simbolos/functiones importadas comúnmente usadas en Malware ( Ejemplo: AdjustTokenPrivileges, DuplicateToken, etc ).
    + Debug: mostrar posible información de depuración.
    + Resource: Usar esos mismos algoritmos para escanear por posibles imagenes PE en los recursos u otro tipo de patrones en cada recurso, además de encontrar inconsistencias en la estructura.
Todo eso si lo escribes de forma modular seguro que se te hará facil agregar funciones para la deteccion de posible Packers, Crypters, obfuscadores, etc.
En línea

4n0nym0us

Desconectado Desconectado

Mensajes: 41



Ver Perfil WWW
Re: 4n4lDetector v1.1
« Respuesta #4 en: 16 Junio 2015, 12:02 pm »

Gracias nuevamente por las ideas! voy poco a poco cuando saco ratos libres... Seguiré centrándome en el formato PE, a ver si saco cosas interesantes, más que nada para transformar la información obtenida del PE en algún tipo de detección.

Aunque me gustaría que quedase claro que ni esta herramienta es un antivirus, ni tampoco un editor PE... tan solo extrae información que puede resultar util a la hora de identificar si un binario es malintencionado o no.

Por cierto... ¿Te gustó la herramienta?  :huh: Me mosquea que no te funcione en el 8.1... jajaja a mi me va perfecta :xD
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
4n0nym0us

Desconectado Desconectado

Mensajes: 41



Ver Perfil WWW
Re: 4n4lDetector v1.1
« Respuesta #5 en: 16 Junio 2015, 15:39 pm »

FUnciona en todos los sistemas... vas a tener que revisar tus máquinas de pruebas  :silbar:



En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: 4n4lDetector v1.1
« Respuesta #6 en: 17 Junio 2015, 06:12 am »

Ambas instalaciones "frescas" sin ninguna actualización o algo.
En línea

OnTheCore

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Re: 4n4lDetector v1.1
« Respuesta #7 en: 18 Junio 2015, 03:05 am »

Citar
Agregada la extracción de nuevas API, detecciones de llamadas a funciones mediante Call API By Name, Call API By Hash y mZombieInvoke.

Como haces para detectar Call API By Hash? las apis pueden estar hasheadas con cualquier algoritmos un numero indeterminado de veces con indeterminados numeros de salts?.

Y te doy una idea. Podrias calcular la entropia de las secciones para detectar packers ;).

Un saludo.
En línea

4n0nym0us

Desconectado Desconectado

Mensajes: 41



Ver Perfil WWW
Re: 4n4lDetector v1.1
« Respuesta #8 en: 18 Junio 2015, 14:05 pm »

Sí tienes razón OnTheCore, realmente tenía algunos hashes apuntados para detectar con ese algoritmo los Call API By Hash, y realmente es algo que terminé desechando. Tengo que borrarlo del help. Sorry!
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
4n0nym0us

Desconectado Desconectado

Mensajes: 41



Ver Perfil WWW
Re: 4n4lDetector v1.1
« Respuesta #9 en: 23 Junio 2015, 11:20 am »

Mover la herramienta, creo que vale la pena que la prueben. infinito10 vos quien sos?  ;D

Por cierto x64Core, ya incluí una rutina de detección para anomalías en el Rich Signature... estará en las próximas versiones. Muchas gracias.
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
4n4lDetector v1.2
Análisis y Diseño de Malware
4n0nym0us 3 4,531 Último mensaje 3 Noviembre 2015, 13:37 pm
por WIитX
4n4lDetector v1.3 « 1 2 »
Análisis y Diseño de Malware
4n0nym0us 19 25,496 Último mensaje 17 Octubre 2017, 21:27 pm
por 4n0nym0us
4n4lDetector v1.5
Análisis y Diseño de Malware
4n0nym0us 0 3,967 Último mensaje 9 Noviembre 2017, 00:29 am
por 4n0nym0us
4n4lDetector v1.8 « 1 2 »
Análisis y Diseño de Malware
4n0nym0us 17 54,591 Último mensaje 13 Diciembre 2023, 17:29 pm
por 4n0nym0us
es de fiar 4n4lDetector ?
Dudas Generales
BIA 3 3,202 Último mensaje 7 Febrero 2024, 15:11 pm
por Danielㅤ
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines