4n4lDetector v1.9 Beta

Me encuentro desarrollando una nueva versión de cuyo nombre prefiero no acordarme… y se me ha ocurrido la idea de dárosla a probar para que me ayudéis a dejarla lo más pulida posible. Entre la versión anterior y esta he realizado varios cambios detallados en el archivo “Leeme”, otros destinados a mejorar la estabilidad del formulario y los cierres inesperados por parte de archivos “raros”. No obstante me gustaría incidir en este último punto, ya que desarrollar una herramienta que analice cualquier tipo de archivo sin que explote en añicos puede ser un reto atractivo para cualquier enfermo mental que se precie. De tal manera, comparto con la comunidad esta versión Beta para encontrar esos archivos “raros”, preferiblemente ejecutables que deriven en errores de ejecución para la herramienta.

¿Qué obtendréis a cambio?
Me comprometo a compartir el 100% de las donaciones recibidas hasta el día de hoy con todos los Beta Testers que reporten un fallo. Además incluiré vuestro nombre en la aplicación como agradecimiento en ayudarme a mejorarla.
http://www.enelpc.com/p/4n4ldetector.html

Un cordial saludo 4n4l!

No te culpo... somos débiles seres.

Vengo cargadito de regalos.. esta última actualización es canela en rama 

 

• Desde línea de comandos por defecto y sin necesidad de utilizar parámetro alguno, se analizarán los archivos abriendo la interfaz gráfica como si se utilizase "-GUI".
• Se incluye la base de datos actualizada de la aplicación Detect It Easy "DIE" funcional para todo tipo de archivos.
• Incluido el análisis de entropía del archivo analizado en el apartado de "Extra 4n4lysis".
• Ahora se bloquean las opciones de arrastrar y añadir archivos mientras se realiza un análisis
• Incluido el cálculo del impHash (x86/x64).
• Se analiza el código ensamblador para los binarios x64 con Capstone Disassembler.
• Se amplía la extracción a 40 bytes del Entry Point perfeccionando las detecciones con "EPRules" (x86/x64).
• El campo TimeDateStamp ahora se muestra por defecto en hexadecimal.
• Solucionado un bug en la conversión Epoch que fallaba para algunos TimeDateStamp.
• Detección del Entry Point raw para todos los binarios x64.
• Mejorada la extracción de información del recurso XML para el nivel de ejecución UAC.
• Mejorada la lectura del campo características en binarios x64 para identificar EXE/DLL.

Github: https://github.com/4n0nym0us/4n4lDetector

Qué pasa hackers! todo bien? guárdense este regalo navideño! 💝 espero que lo disfruten! 

 v2.2

 

• Corrección de defectos visuales leves en la interfaz.
• Corrección en el módulo de extracción de URLs.
• Incluida la detección de APIs referentes a los siguientes puntos dentro del archivo de reglas:
[-] "4n4l.rules"
      [-] Networking
      [-] Persistence
      [-] Encryption
      [-] Anti-Analysis VM
      [-] Stealth
      [-] Execution
      [-] Antivirus
      [-] Privileges
      [-] Keyboard Keys
      [-] WMI executions
 
• Reorganización de archivos:
[-] Configuración:
      [-] "cnf" y "vtapi" (Virustotal) en la carpeta
      [-] Diccionarios en la carpeta ".\db\rules".
 
• Mejorada la integración de la pestaña "Strings" junto a las funciones de "Export Table" e "Import Table".
• Incluido en la pestaña de análisis el ratio de detección de Virustotal si la muestra es detectada por algún antivirus.
• Interfaz en movimiento con mágicas sorpresas.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.2

Hola El_Andaluz! llevo desarrollando esta herramienta desde 2015, ya podemos decir que es bastante estable jeje no puedo hacer nada porque la gente comente aquí, pero vengo a solventar tus dudas.

Funciona perfectamente en Windows 7, 8, 10 y 11. La forma de utilizarlo es tan sencillo como ejecutarlo y arrastrar en su interior los archivos a analizar, ya que podemos definir a esta herramienta como el paso previo antes de realizar un reversing a un ejecutable para Windows (Está orientada para el análisis de malware). La mejor definición que he escrito sobre la misma es la siguiente:


Puedes ejecutar un archivo de registro tras la primera ejecución en el sistema para incluirlo en el desplegable del botón derecho de tu escritorio, el cual se crea en la raíz de la aplicación automáticamente para poder mandar las muestras de forma rápida a analizar. También podrás configurar la información que te gustaría obtener de las muestras a analizar desde el botón Show Options, podrás incluir la API de Virustotal para verificar si la muestra ya está subida, crear reglas personalizadas para la detección con firmas entre otras cosas. Puedes estar tranquilo ya que el malware que analices, jamás se ejecutará desde esta herramienta.. ya que toda la información obtenida se realiza en estático, puede ser muy útil para los analistas de malware.

Es una herramienta única en su género, ya que agrupa detección de métodos de evasión antivirus, detección de packers, extracción de información que pueda ser de interés para un analista de malware, así como la lectura de la estructura PE, obtiene las primeras instrucciones en ensamblador tras el Entry Point para ser analizado automáticamente e incluso ideas propias para la detección de anomalías en los ejecutables.

No viene a ser una herramienta de detección de malware activa como malwarebytes, pero sé de buena mano que las compañías antivirus la están utilizando activamente para catalogar las muestras en sus productos de forma manual.

En esta entrada de mi blog tienes capturas de la ventana con alguna información obtenida en pruebas reales con malware resaltada:

https://www.enelpc.com/p/4n4ldetector.html
Cualquier duda házmela saber!