Descarga:
https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.8
Vídeo:
https://www.youtube.com/watch?v=-zCPk_nuY4c
Añadidos en esta versión:
- Se añade un aviso en el apartado de secciones cuando la sección identificada sea ejecutable.
- Ahora se calculan también los Hashes SHA-256 y SHA-1 de todos los archivos analizados.
- Incluído el nombre original de la librería analizada en el botón de "[Export Table]".
- Ahora 4n4lDetector es capaz de identificar contenido en las Import Table a pesar de que el Offset "Original First Thunk" se encuentre a "0" como en los comprimidos de UPX.
- El módulo "Settings" ahora tiene una sutíl optimización para evitar congelamientos durante la descarga de las notificaciones.
- Se ha optimizado el código encargado de la extracción de recursos, ahora es más rápido.
- Se ha reestructurado la extracción de los Entry Points, optimizando su código y mejorando la velocidad de extracción.
- Se optimizaron y eliminaron algunas de las reglas internas de 4n4lDetector para evitar algunos falsos positivos.
- Se modificó el algoritmo extractor de descripciones de archivo, ahora es más efectivo.
- El resultado del Carving PE se almacena ahora en una carpeta llamada PECarve dentro del apartado de análisis.
- Se reubicó la información de Virustotal en el panel principal. (Utilicen sus API_KEY personales). [-] SORRY MICROSOFT... Creo que estamos en paz después de esa detección de CobaltStrike <3
- El apartado de "IT Functions:" del análisis principal pasa a llamarse "Suspicious functions:", siendo este más acertado. [-] Ahora las funciones cuentan con una descripción de sus funcionalidades.
- Ahora la funcionalidad de "Strings" se ejecuta de manera automática, visible en el botón "S" tras los análisis mientras "Intelligent Strings" esté activo. [-] Aumentada la efectividad y la velocidad del módulo "Intelligent Strings" y de la funcionalidad "Strings".
- La opción "Sections Info" ahora es interna y en su lugar se ha creado una opcional para descomprimir muestras UPX. [-] Las muestras descomprimidas se almacenan en la ruta de análisis, dentro de una carpeta llamada UPX.
- Ahora se agrupa la verificación de ejecutables firmados,la firma del checksum y la firma Rich en el apartado "Signatures".
- Cambios en el manejo de la firma Rich. [-] Se extrae la firma al completo, no solo la primera parte.
- Se ha agreado una herramienta nueva para realizar extracción de Offsets diréctamente del ejecutable y visiualizar sus contenidos. [-] Ahora es posible realizar búsquedas de código manualmente en hexadecimal, ASCII y UNICODE.
- Se agregó la extracción de las tablas de importación y exportación del resto de arquitecturas ejecutables existentes. [-] Alpha AXP, ARM, EFI Byte Code, EFI Byte Code (EBC), Hitachi SH3, Hitachi SH3, Hitachi SH3, Hitachi SH4, Hitachi SH5, Intel Itanium (IA-64), Intel i860, M32R, MIPS16, MIPS16 with FPU, MIPS R3000, MIPS R4000, MIPS little-endian, MIPS little-endian WCE v2, MIPS with FPU.
[-] El binario UPX se encuentra en la raíz de 4n4lDetector, en una carpeta llamada "bin" siendo modificable por el usuario.
[-] Se agregó un hash para su detección.
[-] se verifica la integridad de la misma con una revisión del algoritmo antiguo.
[-] También se ha incluido una funcionalidad para revisar el código en ensamblador.
[-] Esta herramienta ejecuta sus funciones principales de forma automática con el Entry Point tras cada análisis.