Si fuera estable no estarías actualizando cada X tiempo la herramienta me refiero que tu mismo pones versión beta en cada versión.



Dices que es una herramienta de análisis estático eso quiere decir que se basa en el proceso de analizar un archivo sospechoso sin ejecutarlo ? Yo lo que quiero saber si tu programa es como Malwarebite es decir donde aparece varias opciones de análisis por ejemplo tenga la opción de analizar objetos en la memoria, analizar registro y elemento de inicio y que pueda analizar dentro de los archivos, no que tenga tu que arrastrar los archivos para analizarlo y que tenga analisis en busca de rootkits, osea que sea darle un botón y marcar esas opciones y vaya analizando en busca de archivos sospechosos dado que yo por ejemplo no tengo suficientes conocimientos para saber de tal archivo sospechoso me refiero hay archivos que están ocultos y pueden ser maliciosos y yo no saberlo por eso te pregunto si tu programa puede hacer casi lo mismo que malwarebite.

Después tiene la opción el programa de ponerlo en Español ? Lo veo todo en Ingles y no entiendo nada de cada opción. Osea que tenga la opción de cambiarlo en Español, no estaría mal un manual en español de cada función del programa. Esto Último es solo una Opinión.




Y no puede hacerla que sea una herramienta de detección de malwares como el malwarebyte sería la hostia.

Gracias por responder tan rapido pero insisto si puede hacer un vídeo del programa explicando cada función estaría de lujo.

Buenos días El_Andaluz!


La única versión BETA que saqué entre medias fue la previa a la 1.9, hice una reestructuración importante y la comunidad me ayudó a pulir algunos errores. Saco versiones nuevas de continuo porque no puedo luchar contra tanta creatividad jajaj


Exacto, esta herramienta no realiza ejecuciones de las muestras.. anteriormente sí tenía una opción en la que mediante un dump del proceso se analizaban las trazas y en algunos casos se extraían módulos de configuración de troyanos conocidos. Aunque esa funcionalidad no la eliminé de la aplicación, ya no se pueden ejecutar muestras desde la herramienta. Nunca lo hará, y tampoco tiene funcionalidad de antivirus, no realiza análisis de la memoria porque no es su función. Hay una gran cantidad de conclusiones que se pueden obtener de un análisis estático y esa es la parte que ocupa 4n4lDetector.


Quizá me piense poner la opción algún día, doy por hecho que todo el mundo que la utiliza la puede entender y quizá no sea así.


Nada jeje tu piensa que aunque el cometido sea analizar malware, son herramientas muy diferentes.. esta ayuda al analista de malware y no al usuario. Un día preparo una demo con algunas muestras y lo comento.



Hola reymosquito, vamos a por más cuestiones!

No lo voy a discutir, pueden sobrar el resto con tres líneas.. es cuestión de gustos, yo prefiero ver un poco más del contexto inicial.

Esto lo pensé en su momento. Pero según tengo el desarrollo y encontrándole la utilidad real, pienso que no es necesario, cuando vas a buscar una cadena a un editor hexadecimal no sueles buscarla por la dirección estática sino que buscas la cadena directamente. Terminé por desestimar la idea en su momento.

En el modo vista Web actualmente solo tengo puesta la opción de colores, es algo así como un informe que puedes exportar para pegarlo en un documento.. la realidad es que cuando lo pegas allí, el analista tiene que ajustar el tamaño y la fuente para que se ajuste con el estilo de su documentación.

Sí como le contesté a El_Andaluz quizá plantee ponerla al español, aunque traducir algunas opciones será de risa jeje

Debe ser una buena herramienta pero el nombre no la ayuda... eso de 4n4ldetector suena a término de un proctologo que es el que se ocupa del diagnóstico y tratamiento de las enfermedades anales, del recto y el colon... debe ser que la llamaste porque tu eres algo chistoso a según tus comentarios aquí y en otros sitios...

Saludos.

 

Una herramienta útil para analizar... o dar apoyo al desarrollo de malware indetectable? Eso es cosa tuya... a mí no me líes  

   v2.4
  ------------------------------------------------
  

• Deslimitado el número de caracteres mostrados en el visor de Strings, afectando también a la Export e Import Table.
• Se han realizado optimizaciones priorizando la estabilidad de la herramienta a costa de la mínima pérdida de velocidad durante los análisis.
• Agregada la extracción de la rama SYSTEM del registro.
• Se ha optimizado la herramienta Strings impactando muy positivamente en su velocidad.
• Se expandió la recolección de nuevas cadenas de la herramienta Strings.
• Se agregó un nuevo módulo de búsqueda de cadenas llamado Inlligent Strings. (Busca palabras clave tal y cómo haría un analista de malware)
•     -> Incluida una función de limpieza para rutas y direcciones de internet que afecta a este módulo.
• Incluido un control de tiempos tras finalizar los análisis en el título del formulario principal.
• Bloqueada la opción de arrastrar muestras sobre el código Web evitando la opción de ejecutar.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.4

Sin duda la actualización más grande de #4n4lDetector ya para descarga! 😅

   v2.6
  ------------------------------------------------

• Ha sido inlcuido un nuevo formulario con acceso a un Area Online.
•     -> El botón "[Online Area]" abre un formulario con notificaciones en tiempo real que pueden ser modificadas por mí en cualquier momento.
•     -> Es posible responder a los contenidos de las notificaciones a través del botón "Reply" mediante correo electrónico.
•     -> El contenido de las notificaciones será meramente informativo sobre el estado de desarrollo de la herramienta o alertas de malware actuales.
•     -> Desde el apartado de File Rules es posible descargar y modificar los nuevos archivos "4n4l.rules" y "EP.rules" con facilidad.
•     -> La fecha y hora actuales se incluye al inicio de los archivos tras cada descarga para dejar constancia de su modificación.
• Se incluye una funcionalidad de carving para la revisión de cabeceras PE en el interior de los archivos analizados.
•     -> Si se identifican ejecutables se calcula el tamaño de sus PE y se extraen al disco.
•     -> Los archivos extraídos se almacenan con el nombre del Offset de inicio del que se extrajeron y se asigna una extensión no ejecutable.
•     -> La carpeta de almacenamiento de los archivos PE extraídos es la misma que la de almacenamiento de análisis HTML.
• Se incluye un botón "[GO]" en el módulo "PE Carve" que abrirá la carpeta de los archivos creados, en caso contrario abrirá la carpeta de análisis.
•     -> Un parpadeo luminoso en el botón "[GO]" avisará al usuario cuando la carpeta que contiene a los archivos se genere.
• Se incluye un apartado de reglas para la detección de exploits.
•     -> En los Entry Point desde el diccionario "EP.Rules"
•     -> En el diccionario de "4n4l.Rules"
•     -> En los recursos
• Multitud de optimizaciones han sido incluidas para mejorar los tiempos de análisis.
• Se ha eliminado la funcionalidad de cortador de archivos por falta de uso de la comunidad debido a que ya se analizan muestras más grandes.
• Se ha realizado un cambio del icono del formulario principal y el del ejecutable de la aplicación.
• Se corrigieron pequeños defectos visuales que se daban en alguna configuración del sistema inusual de los sistemas Windows 10 y Windows 11.
• El botón de "Show Options" se lanza con un retraso de un segundo en la primera ejecución.
• La ruta de almacenamiento de los documentos HTML pasa a encontrarse dentro de una carpeta con nombre del hash MD5 del archivo analizado.
• El módulo de configuración de RATs pasa a formar parte del módulo de Heurística deshabilitado por defecto.
• Aumentada la efectividad del algoritmo de carving para la extracción de funciones de la Export Table que puedan encontrarse perdidas.
• Las estadísticas de tiempo y tamaño del contenido del análisis se mantienen en el título de la pestaña del WebView.
• Desde la pestaña del WebView ahora se puede aplicar otro color de fondo para la generación del archivo HTML.
• El código que realiza la extracción de direcciones IP ha sido revisado, mejorado y optimizado priorizando su velocidad y efectividad.
• El módulo interno de "Known IP/Domains" ahora cuenta con una lista ampliada de detecciones de servicios DNS.
• Solucionado un pequeño bug que pintaba de amarillo uno de los módulos sin encontrarse la opción de su análisis habilitado.
• Solucionado un pequeño bug que omitía la primera cadena del buffer de "Intelligent Strings" y de la funcionalidad de "Strings".
• El código de colores de la herramienta ahora marca los botones morados como una (conexión directa a internet).
• Los botones de los formularios ahora muestran un indicativo de su accionación.
• Aumentada la detección de nuevas sintaxis en el módulo "Intelligent Strings".
• Detección de Mimikatz por diccionario "4n4l.Rules".
• Corrección de algunas reglas del diccionario de detección de Entry points conocidos y del diccionario "4n4l.Rules".
• Detección de SysCall desde "4n4l.Rules" por Miguel Ángel Arenas.
• Opción de reanalisis de muestra en el formulario principal idea de Miguel Ángel Arenas.

Descarga:https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.6