elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  4n4lDetector v1.8
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: 4n4lDetector v1.8  (Leído 69,027 veces)
4n0nym0us

Desconectado Desconectado

Mensajes: 46



Ver Perfil WWW
4n4lDetector v1.8
« en: 11 Marzo 2022, 14:20 pm »

Hola muñecos y muñecas, he seguido actualizando esta herramienta... abro post para dejarles las últimas cositas incluidas, espero que la disfruten  :rolleyes:

4n4lDetector es una herramienta de análisis de archivos ejecutables, bibliotecas, controladores y mdumps de Microsoft Windows para x86 y x64. A partir de la versión 1.8, también se incluye un uso extendido para analizar anomalías en los ejecutables ELF de Linux. Su principal objetivo es recopilar la información necesaria para facilitar la identificación de código malicioso dentro de los archivos analizados. Esta herramienta analiza, entre otras cosas, la cabecera PE y su estructura, el contenido de las secciones, los diferentes tipos de cadenas, entre muchas otras cosas. También incorpora multitud de ideas propias para reconocer anomalías en la construcción de los ejecutables y la detección de mecanismos utilizados usualmente en el malware actual.

Citar
 
  • Detección de doble cabecera en ejecutables ELF Linux
  • Se incluye la extracción del número de versión de UPX para ejecutables ELF Linux (Muy utilizado en malware actualmente)
  • Agregada la identificación de todos los tipos de ejecutables ELF Linux
  • La interfaz de usuario es más amigable que nunca.
  • Se incluye el primer fragmento de la Rich signature en caso de encontrarlo.
  • He tardado 9 versiones de 4n4lDetector... pero ha llegado, ya se puede maximizar el formulario!
  • Mejorado el algoritmo de identificación de correos electrónicos para evitar direcciones duplicadas.
  • Solucionado un bug que podría cerrar la aplicación inesperadamente tras la apertura de un tipo específico de fichero. 
  • Mejorada la limpieza de cadenas tras la extracción de librerías en formato UNICODE.
  • Solucionado un bug al mostrar las funciones disponibles y su recuento en la tabla de exportaciones.
  • Agregada una funcionalidad de visualización de reportes "[W]" desde un visor Web con las siguientes herramientas
           Opciones de modificación del título y contenido del reporte
           Un visor del código HTML generado para la visualización
           Un botón para realizar el salvado del reporte a un documento
           Integrado un botón para la apertura de la carpeta que alberga todos los reportes guardados
 
  • Agregado el parámetro "-HTML" para la extracción de reportes en formato HTML por consola:
           4n4lDetector.exe Path\App.exe -HTML



Descarga: http://www.enelpc.com/p/4n4ldetector.html
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
4n0nym0us

Desconectado Desconectado

Mensajes: 46



Ver Perfil WWW
Re: 4n4lDetector v1.8
« Respuesta #1 en: 1 Abril 2022, 14:46 pm »

4n4lDetector v1.9 Beta

Me encuentro desarrollando una nueva versión de cuyo nombre prefiero no acordarme… y se me ha ocurrido la idea de dárosla a probar para que me ayudéis a dejarla lo más pulida posible. Entre la versión anterior y esta he realizado varios cambios detallados en el archivo “Leeme”, otros destinados a mejorar la estabilidad del formulario y los cierres inesperados por parte de archivos “raros”. No obstante me gustaría incidir en este último punto, ya que desarrollar una herramienta que analice cualquier tipo de archivo sin que explote en añicos puede ser un reto atractivo para cualquier enfermo mental que se precie. De tal manera, comparto con la comunidad esta versión Beta para encontrar esos archivos “raros”, preferiblemente ejecutables que deriven en errores de ejecución para la herramienta.

¿Qué obtendréis a cambio?
Me comprometo a compartir el 100% de las donaciones recibidas hasta el día de hoy con todos los Beta Testers que reporten un fallo. Además incluiré vuestro nombre en la aplicación como agradecimiento en ayudarme a mejorarla.
http://www.enelpc.com/p/4n4ldetector.html

Un cordial saludo 4n4l!
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
BlackZeroX
Wiki

Desconectado Desconectado

Mensajes: 3.158


I'Love...!¡.


Ver Perfil WWW
Re: 4n4lDetector v1.8
« Respuesta #2 en: 19 Abril 2022, 05:04 am »

Mendigo titulo click bait, solo por eso entre....
En línea

The Dark Shadow is my passion.
4n0nym0us

Desconectado Desconectado

Mensajes: 46



Ver Perfil WWW
Re: 4n4lDetector v1.8
« Respuesta #3 en: 20 Abril 2022, 14:01 pm »

No te culpo... somos débiles seres.
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
4n0nym0us

Desconectado Desconectado

Mensajes: 46



Ver Perfil WWW
Re: 4n4lDetector v1.8
« Respuesta #4 en: 28 Abril 2022, 18:06 pm »

Ya tienen disponible la versión 1.9, después de un par de betas públicas se han incluido los siguientes puntos en esta versión estable:

  • Incluido un diccionario modificable de reglas con comodines para los primeros 25 bytes del Entry Point, con más de 3.700 líneas de detección de packers y compiladores. 
  • Detalles y ajustes en la interfaz.
  • El formulario se abre en el centro de la pantalla para mejorar la visión en resoluciones inusuales.
  • Agregada la lista de agradecimientos  ;)
  • Solucionado un bug en la apertura de ejecutables bloqueados por el sistema observado en Windows 11.
  • Solucionado el bloqueo de la carpeta actual al arrastrar manualmente una muestra para su análisis.
  • Mejorada la estabilidad del formulario de la aplicación.
  • Agregados dos botones que se activarán automáticamente al identificar funciones en las tablas de importación/exportación.
  • Se han corregido varios bugs relacionados con la extracción de opcodes en algunos Entry Points.
  • Solucionado un bug que podría cerrar la aplicación inesperadamente tras el análisis de ciertos archivos UPX.
  • Se incluye un aviso para cuando un usuario ejecuta 4n4lDetector.exe sin los archivos necesarios para su correcto funcionamiento.
  • Actualizado el detector de versiones de compresión UPX.
  • El módulo de "Emails" se incluye como (opcional desactivado) por defecto, debido a la demora que podía causar en algunos binarios poco comunes.

Blog: http://www.enelpc.com/p/4n4ldetector.html
Github: https://github.com/4n0nym0us/4n4lDetector
  
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
4n0nym0us

Desconectado Desconectado

Mensajes: 46



Ver Perfil WWW
Re: 4n4lDetector v2.0
« Respuesta #5 en: 13 Mayo 2022, 21:23 pm »

Vengo cargadito de regalos.. esta última actualización es canela en rama  :-*

 
  • Desde línea de comandos por defecto y sin necesidad de utilizar parámetro alguno, se analizarán los archivos abriendo la interfaz gráfica como si se utilizase "-GUI".
  • Se incluye la base de datos actualizada de la aplicación Detect It Easy "DIE" funcional para todo tipo de archivos.
  • Incluido el análisis de entropía del archivo analizado en el apartado de "Extra 4n4lysis".
  • Ahora se bloquean las opciones de arrastrar y añadir archivos mientras se realiza un análisis
  • Incluido el cálculo del impHash (x86/x64).
  • Se analiza el código ensamblador para los binarios x64 con Capstone Disassembler.
  • Se amplía la extracción a 40 bytes del Entry Point perfeccionando las detecciones con "EPRules" (x86/x64).
  • El campo TimeDateStamp ahora se muestra por defecto en hexadecimal.
  • Solucionado un bug en la conversión Epoch que fallaba para algunos TimeDateStamp.
  • Detección del Entry Point raw para todos los binarios x64.
  • Mejorada la extracción de información del recurso XML para el nivel de ejecución UAC.
  • Mejorada la lectura del campo características en binarios x64 para identificar EXE/DLL.

Github: https://github.com/4n0nym0us/4n4lDetector
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
4n0nym0us

Desconectado Desconectado

Mensajes: 46



Ver Perfil WWW
Re: 4n4lDetector v2.1
« Respuesta #6 en: 17 Junio 2022, 19:20 pm »

¿Cómo están mis 4n4listas preferidos? :-* Sigo como Daniel San, dando cera y puliendo cera en esta herramienta.. ahora también cuenta con una pequeña extracción de bytes directamente de los recursos del binario analizado. Por defecto la herramienta buscará ejecutables incluidos en esta zona, y opcionalmente es posible listar el contenido de todos los recursos existentes. Qué la disfruten!  ::)

  
  • Ahora se convertirán a entidades HTML los tag mostrados en el apartado de informe que puedan venir de la pestaña de análisis.
  • Incluidas a la lista interna de 4n4lDetector nuevas palabras de interés.
  • Se agregó la extracción de nuevas sentencias de ejecución de los binarios analizados.
  • Se eliminaron las detecciones nulas (PE: 0) por parte de DIE.
  • Reorganización de las detecciones de Packer/Compiler/Entropy.
  • El cálculo de la entropía se realiza actualmente desde el apartado de DIE junto a la opción de Entropy/recount activado.
  • Incluida la revisión de todos recursos en busca de ejecutables maliciosos.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.1
« Última modificación: 17 Junio 2022, 19:27 pm por 4n0nym0us » En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
4n0nym0us

Desconectado Desconectado

Mensajes: 46



Ver Perfil WWW
Re: 4n4lDetector v2.2
« Respuesta #7 en: 6 Diciembre 2022, 21:20 pm »

Qué pasa hackers! todo bien? guárdense este regalo navideño! 💝 espero que lo disfruten!  :rolleyes:

 v2.2

 
  • Corrección de defectos visuales leves en la interfaz.
  • Corrección en el módulo de extracción de URLs.
  • Incluida la detección de APIs referentes a los siguientes puntos dentro del archivo de reglas:
  • [-] "4n4l.rules"
          [-] Networking
          [-] Persistence
          [-] Encryption
          [-] Anti-Analysis VM
          [-] Stealth
          [-] Execution
          [-] Antivirus
          [-] Privileges
          [-] Keyboard Keys
          [-] WMI executions
     
  • Reorganización de archivos:
  • [-] Configuración:
          [-] "cnf" y "vtapi" (Virustotal) en la carpeta
          [-] Diccionarios en la carpeta ".\db\rules".
     
  • Mejorada la integración de la pestaña "Strings" junto a las funciones de "Export Table" e "Import Table".
  • Incluido en la pestaña de análisis el ratio de detección de Virustotal si la muestra es detectada por algún antivirus.
  • Interfaz en movimiento con mágicas sorpresas.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.2
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
El_Andaluz


Desconectado Desconectado

Mensajes: 4.189



Ver Perfil
Re: 4n4lDetector v1.8
« Respuesta #8 en: 6 Diciembre 2022, 23:35 pm »

Tengo varias preguntas primero cuando vas a sacar una versión totalmente estable ? Porque no visto ni un comentario de ningún usuario que haya probado todavía esta herramientas que has creado.


Segundo: Funciona en Windows7 ? Como se ejecuta el programa ? Estaría bien que hicieras un vídeo de cómo se ejecuta el programa en nuestro PC y explicar cada función hay gente no sabemos y podemos meter la gamba al tocar algo que no sabemos.


Tercero: Esta Herramienta sustituye por ejemplo a malwarebytes ? Te lo pregunto porque vaya se que me instale tu programa y pueda crear conflictos con el malwarebytes que ya tengo instalado en mi Pc, imagino que hace casi la misma funciones que el malwarebytes.


« Última modificación: 6 Diciembre 2022, 23:41 pm por El_Andaluz » En línea

4n0nym0us

Desconectado Desconectado

Mensajes: 46



Ver Perfil WWW
Re: 4n4lDetector v1.8
« Respuesta #9 en: 7 Diciembre 2022, 01:33 am »

Hola El_Andaluz! llevo desarrollando esta herramienta desde 2015, ya podemos decir que es bastante estable jeje no puedo hacer nada porque la gente comente aquí, pero vengo a solventar tus dudas.

Funciona perfectamente en Windows 7, 8, 10 y 11. La forma de utilizarlo es tan sencillo como ejecutarlo y arrastrar en su interior los archivos a analizar, ya que podemos definir a esta herramienta como el paso previo antes de realizar un reversing a un ejecutable para Windows (Está orientada para el análisis de malware). La mejor definición que he escrito sobre la misma es la siguiente:

Citar
4n4lDetector es una herramienta de análisis estático para archivos ejecutables, bibliotecas, controladores y mdumps de Microsoft Windows para x86 y x64. A partir de la versión 1.8, también se incluyó un uso extendido para analizar anomalías en los ejecutables ELF de Linux. Su principal objetivo es recopilar la información necesaria para facilitar la identificación de código malicioso dentro de los archivos analizados. Esta herramienta analiza, entre otras cosas, la cabecera PE y su estructura, el contenido de las secciones, los diferentes tipos de cadenas, entre muchas otras cosas. También incorpora multitud de ideas propias para reconocer anomalías en la construcción de archivos y la detección de mecanismos utilizados por el malware actual.

Puedes ejecutar un archivo de registro tras la primera ejecución en el sistema para incluirlo en el desplegable del botón derecho de tu escritorio, el cual se crea en la raíz de la aplicación automáticamente para poder mandar las muestras de forma rápida a analizar. También podrás configurar la información que te gustaría obtener de las muestras a analizar desde el botón Show Options, podrás incluir la API de Virustotal para verificar si la muestra ya está subida, crear reglas personalizadas para la detección con firmas entre otras cosas. Puedes estar tranquilo ya que el malware que analices, jamás se ejecutará desde esta herramienta.. ya que toda la información obtenida se realiza en estático, puede ser muy útil para los analistas de malware.

Es una herramienta única en su género, ya que agrupa detección de métodos de evasión antivirus, detección de packers, extracción de información que pueda ser de interés para un analista de malware, así como la lectura de la estructura PE, obtiene las primeras instrucciones en ensamblador tras el Entry Point para ser analizado automáticamente e incluso ideas propias para la detección de anomalías en los ejecutables.

No viene a ser una herramienta de detección de malware activa como malwarebytes, pero sé de buena mano que las compañías antivirus la están utilizando activamente para catalogar las muestras en sus productos de forma manual.

En esta entrada de mi blog tienes capturas de la ventana con alguna información obtenida en pruebas reales con malware resaltada:

https://www.enelpc.com/p/4n4ldetector.html
Cualquier duda házmela saber!  ;)
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
4n4lDetector v1.1 « 1 2 »
Análisis y Diseño de Malware
4n0nym0us 10 10,554 Último mensaje 23 Junio 2015, 13:22 pm
por .:UND3R:.
4n4lDetector v1.2
Análisis y Diseño de Malware
4n0nym0us 3 4,880 Último mensaje 3 Noviembre 2015, 13:37 pm
por WIитX
4n4lDetector v1.3 « 1 2 »
Análisis y Diseño de Malware
4n0nym0us 19 26,516 Último mensaje 17 Octubre 2017, 21:27 pm
por 4n0nym0us
4n4lDetector v1.5
Análisis y Diseño de Malware
4n0nym0us 0 4,219 Último mensaje 9 Noviembre 2017, 00:29 am
por 4n0nym0us
es de fiar 4n4lDetector ?
Dudas Generales
BIA 3 7,049 Último mensaje 7 Febrero 2024, 15:11 pm
por Danielㅤ
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines