Hola qué tal? respondo para todo aquel que tenga dudas:

El punto fuerte de la herramienta es el análisis estático, la opción de los memory dumps para mi es algo secundario, porque esto supone ejecutar la muestra y para eso te montas un cuckoo. Esta mira las estructuras lógicas del PE, en busca de anomalías a causa de modificaciones del binario tras su compilación. Tiene detecciones de métodos para la evasión antivirus, crypters y binders, injertos en code caves, modificaciones de la firma Rich de Microsoft, detección de Payloads y Shellcodes, packers, extracción de strings como rutas, nombres de archivos, emails, IPs, SQL Queries, búsquedas de códigos maliciosos tras los Entry Points, tales como algoritmos o saltos, extracción de claves de registro, verificaciones de la integridad del binario, un modo nuevo para visualizar cadenas que puedan contener información extra, métodos Anti-Debug, Configs de Rats...

La inteligencia para saber si la muestra que te encuentras analizando es un malware, eres tú.

PD: El_Andaluz, ya te digo yo que ni tu antimalware, ni tu AVG, te van a proteger de todo.

El uso es muy sencillo, tan solo hay que arrastrar la muestra a la caja negra. También puedes lanzarla por consola como indica el Leeme.txt o desde el desplegable del botón derecho tras instalar el .REG, que 4n4lDetector crea en la carpeta raíz al ejecutarse.



4n4lDetector solo muestra lo que encuentra. Lo más complejo puede ser entender la información, pero eso depende del nivel del analista.

Saludos!  

MOD EDIT: Imagen redimensionada al maximo acotumbrado en el foro.

Holaaa! me alegro de que te guste! la herramienta no realiza peticiones a internet, con lo que quizás en un futuro agregue alguna opción para hacer resoluciones dns y cosas por el estilo... por ahora me centro en los binarios, que tienen para mucho jeje

Saludos! 

Disculpa la tardanza... me había ido a comprar tabaco 

Tengo una versión más actual publicada en http://www.enelpc.com/p/4n4ldetector.html, aunque la versión incorporada dentro del debugger se encuentra más pulida http://www.enelpc.com/p/enelpc-dbg.html.

No obstante ya estoy desarrollando una que puede quedar fina filipina.. además de corregir varios fallos traerá cosas nuevas como creación de reglas de detección simples personalizadas desde un archivo, se extraen los nombres de las secciones además de idetificación de las que contienen el flag de código ejecutable y alguna cosa más, no tardaré en publicarla.

Secciones:
https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22382434_10155687767377970_6893889858829389863_o.jpg?oh=3bc7fd40c66f0dc7f32eeb974914f9c5&oe=5A6EC659

4n4lRules:
https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22290082_10155674573457970_3852618583063143953_o.jpg?oh=ebab4db0a137cb641315793df8a1b7c6&oe=5A698D43

Un saludo!

En cuanto al idioma es la primera herramienta que publiqué desde su inicio en inglés y no tengo pensado agregar el español, creo que es bastante intuitiva y no tiene demasiados botones como para llegar a confusiones, si hay dudas me pueden contactar sin problemas.

Sobre lo de saber cuando será la versión final, no lo tengo claro, supongo que cuando me aburra de ella o tenga otros proyectos en mente que me roben el tiempo.. por ahora solo tengo Insanity Protector, mientras no se terminen las ideas

Saludos!