Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: 4n0nym0us en 28 Octubre 2015, 22:09 pm


Título: 4n4lDetector v1.2
Publicado por: 4n0nym0us en 28 Octubre 2015, 22:09 pm
Se trata de una herramienta destinada a realizar un análisis rápido sobre binarios PE en busca de código malicioso, principalmente de forma estática, aunque también trabaja con ejecución de muestras y sobre sus “Memory Dumps”, aunque ésto último de forma opcional, para evitar comprometer la máquina utilizada en el análisis en el caso que no se desee poner en riesgo.

Detecta modificaciones en binarios mediante técnicas a bajo nivel de evasión antivirus, en busca de códigos y estructuras inusuales por parte de un compilador. Además, cuenta con la extracción y el análisis de las cadenas que el binario pueda contener. La siguiente imagen muestra de forma resumida la información que la herramienta comprueba antes de mostrar el resultado:

(http://www.securityartwork.es/wp-content/uploads/2015/10/0.png)

Más imágenes:

(http://www.securityartwork.es/wp-content/uploads/2015/10/1.png)

(http://www.securityartwork.es/wp-content/uploads/2015/10/2.png)

(http://www.securityartwork.es/wp-content/uploads/2015/10/3.png)

(http://www.securityartwork.es/wp-content/uploads/2015/10/7.png)

Descarga:
http://www.enelpc.com/p/4n4ldetector.html (http://www.enelpc.com/p/4n4ldetector.html)

Título: Re: 4n4lDetector v1.2
Publicado por: .:UND3R:. en 29 Octubre 2015, 18:12 pm
A primera vista se ve una increible tool, muy bien  ;-)

creo que ya habías publicado esta tools si mal no me equivoco, en fin excelente aporta y muy bien  ;-)

Título: Re: 4n4lDetector v1.2
Publicado por: 4n0nym0us en 29 Octubre 2015, 20:17 pm
Hola Und3r! Es una nueva versión de mi herramienta, he incorporado cosas como el análisis de la firma Rich de Microsoft como un usuario de este mismo foro me comentó anteriormente. Espero que les guste esta nueva actualización, ya que he incorporado bastantes cambios, los dejo a continuación:
 
  • Arreglado un bug al mostrar versiones antiguas de UPX.
  • Arreglado un bug que afectaba a la detección de algunos Entry Points.
  • Agregada la palabra EOF, en la descripción de las detecciones Dropper.
  • Aumentada la efectividad de la rutina de detección Shikata Ga Nai.
  • Eliminados los ejecutables extraidos con asteriscos (*).
  • Revisión de la integridad del formato PE.
  • Revisión de la integridad de la firma Rich de Microsot.
  • Revisión de la integridad del CheckSum.
  • Agregado el campo TimeDateStamp y la fecha de compilación.
  • Detección de migraciones del Entry Point a otras zonas de código ejecutable.
  • Incorporado un visor de iconos.
  • Agregada rutina de detección para aplicaciones en Visual Basic 5/6 con códigos inusuales tras su Entry Point.
  • Ampliada la detección de Packers.
  • Agregada rutina de detección de ejecutables incompletos (truncados).
  • Agregada la creación de un archivo de registro "Add4n4lMenu.reg", para incluir los análisis de forma rápida al desplegable de explorer.
  • Agregada la extracción de librerías.
  • Agregada la detección de parámetros para el ejecutable 4n4lDetector.exe
          -> 4n4lDetector.exe Path\App.exe -GUI
          -> 4n4lDetector.exe Path\App.exe -TXT
          -> 4n4lDetector.exe Path\App.exe -GREMOVE (Borrado del binario tras su análisis)

Se aceptan ideas nuevas  :P

Título: Re: 4n4lDetector v1.2
Publicado por: WIитX en 3 Noviembre 2015, 13:37 pm
Tiene muy buena pinta gracias por compartir cosas así con la comunidad de elhacker.net !

Lo probaré nada más llegar a casa, muchas gracias!


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines