Foro de elhacker.net

Hola muñecos y muñecas, he seguido actualizando esta herramienta... abro post para dejarles las últimas cositas incluidas, espero que la disfruten  :rolleyes:

4n4lDetector es una herramienta de análisis de archivos ejecutables, bibliotecas, controladores y mdumps de Microsoft Windows para x86 y x64. A partir de la versión 1.8, también se incluye un uso extendido para analizar anomalías en los ejecutables ELF de Linux. Su principal objetivo es recopilar la información necesaria para facilitar la identificación de código malicioso dentro de los archivos analizados. Esta herramienta analiza, entre otras cosas, la cabecera PE y su estructura, el contenido de las secciones, los diferentes tipos de cadenas, entre muchas otras cosas. También incorpora multitud de ideas propias para reconocer anomalías en la construcción de los ejecutables y la detección de mecanismos utilizados usualmente en el malware actual.


(https://blogger.googleusercontent.com/img/a/AVvXsEiH11tWSWVOvt5lXn7wZn1pKoL6__RN8-EODVXiskqw8qpbe2eBR8zIPROdOfVbVfvWDqhvLIlGh_IaNLE3TsNUTC4xCIpkABC6Cg5khZnmYeFR8ZVhIg6Wjh8uRl72Z75qXOTPU5yOVs9hngrDZr0qj4ivUb3Cgd3q68KQeqL4862clV6mK-_y8GIskA=s1040)

Descarga: http://www.enelpc.com/p/4n4ldetector.html (http://www.enelpc.com/p/4n4ldetector.html)

4n4lDetector v1.9 Beta

Me encuentro desarrollando una nueva versión de cuyo nombre prefiero no acordarme… y se me ha ocurrido la idea de dárosla a probar para que me ayudéis a dejarla lo más pulida posible. Entre la versión anterior y esta he realizado varios cambios detallados en el archivo “Leeme”, otros destinados a mejorar la estabilidad del formulario y los cierres inesperados por parte de archivos “raros”. No obstante me gustaría incidir en este último punto, ya que desarrollar una herramienta que analice cualquier tipo de archivo sin que explote en añicos puede ser un reto atractivo para cualquier enfermo mental que se precie. De tal manera, comparto con la comunidad esta versión Beta para encontrar esos archivos “raros”, preferiblemente ejecutables que deriven en errores de ejecución para la herramienta.

¿Qué obtendréis a cambio?
Me comprometo a compartir el 100% de las donaciones recibidas hasta el día de hoy con todos los Beta Testers que reporten un fallo. Además incluiré vuestro nombre en la aplicación como agradecimiento en ayudarme a mejorarla.
http://www.enelpc.com/p/4n4ldetector.html (http://www.enelpc.com/p/4n4ldetector.html)

Un cordial saludo 4n4l!

Mendigo titulo click bait, solo por eso entre....

No te culpo... somos débiles seres.

Ya tienen disponible la versión 1.9, después de un par de betas públicas se han incluido los siguientes puntos en esta versión estable:

• Incluido un diccionario modificable de reglas con comodines para los primeros 25 bytes del Entry Point, con más de 3.700 líneas de detección de packers y compiladores. 
• Detalles y ajustes en la interfaz.
• El formulario se abre en el centro de la pantalla para mejorar la visión en resoluciones inusuales.
• Agregada la lista de agradecimientos  ;)
• Solucionado un bug en la apertura de ejecutables bloqueados por el sistema observado en Windows 11.
• Solucionado el bloqueo de la carpeta actual al arrastrar manualmente una muestra para su análisis.
• Mejorada la estabilidad del formulario de la aplicación.
• Agregados dos botones que se activarán automáticamente al identificar funciones en las tablas de importación/exportación.
• Se han corregido varios bugs relacionados con la extracción de opcodes en algunos Entry Points.
• Solucionado un bug que podría cerrar la aplicación inesperadamente tras el análisis de ciertos archivos UPX.
• Se incluye un aviso para cuando un usuario ejecuta 4n4lDetector.exe sin los archivos necesarios para su correcto funcionamiento.
• Actualizado el detector de versiones de compresión UPX.
• El módulo de "Emails" se incluye como (opcional desactivado) por defecto, debido a la demora que podía causar en algunos binarios poco comunes.

Blog: http://www.enelpc.com/p/4n4ldetector.html
Github: https://github.com/4n0nym0us/4n4lDetector
  

Vengo cargadito de regalos.. esta última actualización es canela en rama  :-*

 

• Desde línea de comandos por defecto y sin necesidad de utilizar parámetro alguno, se analizarán los archivos abriendo la interfaz gráfica como si se utilizase "-GUI".
• Se incluye la base de datos actualizada de la aplicación Detect It Easy "DIE" funcional para todo tipo de archivos.
• Incluido el análisis de entropía del archivo analizado en el apartado de "Extra 4n4lysis".
• Ahora se bloquean las opciones de arrastrar y añadir archivos mientras se realiza un análisis
• Incluido el cálculo del impHash (x86/x64).
• Se analiza el código ensamblador para los binarios x64 con Capstone Disassembler.
• Se amplía la extracción a 40 bytes del Entry Point perfeccionando las detecciones con "EPRules" (x86/x64).
• El campo TimeDateStamp ahora se muestra por defecto en hexadecimal.
• Solucionado un bug en la conversión Epoch que fallaba para algunos TimeDateStamp.
• Detección del Entry Point raw para todos los binarios x64.
• Mejorada la extracción de información del recurso XML para el nivel de ejecución UAC.
• Mejorada la lectura del campo características en binarios x64 para identificar EXE/DLL.

Github: https://github.com/4n0nym0us/4n4lDetector

¿Cómo están mis 4n4listas preferidos? :-* Sigo como Daniel San, dando cera y puliendo cera en esta herramienta.. ahora también cuenta con una pequeña extracción de bytes directamente de los recursos del binario analizado. Por defecto la herramienta buscará ejecutables incluidos en esta zona, y opcionalmente es posible listar el contenido de todos los recursos existentes. Qué la disfruten!  ::)

  

• Ahora se convertirán a entidades HTML los tag mostrados en el apartado de informe que puedan venir de la pestaña de análisis.
• Incluidas a la lista interna de 4n4lDetector nuevas palabras de interés.
• Se agregó la extracción de nuevas sentencias de ejecución de los binarios analizados.
• Se eliminaron las detecciones nulas (PE: 0) por parte de DIE.
• Reorganización de las detecciones de Packer/Compiler/Entropy.
• El cálculo de la entropía se realiza actualmente desde el apartado de DIE junto a la opción de Entropy/recount activado.
• Incluida la revisión de todos recursos en busca de ejecutables maliciosos.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.1 (https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.1)

Qué pasa hackers! todo bien? guárdense este regalo navideño! 💝 espero que lo disfruten!  :rolleyes:

 v2.2

 

• Corrección de defectos visuales leves en la interfaz.
• Corrección en el módulo de extracción de URLs.
• Incluida la detección de APIs referentes a los siguientes puntos dentro del archivo de reglas:
[-] "4n4l.rules"
      [-] Networking
      [-] Persistence
      [-] Encryption
      [-] Anti-Analysis VM
      [-] Stealth
      [-] Execution
      [-] Antivirus
      [-] Privileges
      [-] Keyboard Keys
      [-] WMI executions
 
• Reorganización de archivos:
[-] Configuración:
      [-] "cnf" y "vtapi" (Virustotal) en la carpeta
      [-] Diccionarios en la carpeta ".\db\rules".
 
• Mejorada la integración de la pestaña "Strings" junto a las funciones de "Export Table" e "Import Table".
• Incluido en la pestaña de análisis el ratio de detección de Virustotal si la muestra es detectada por algún antivirus.
• Interfaz en movimiento con mágicas sorpresas.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.2 (https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.2)

Tengo varias preguntas primero cuando vas a sacar una versión totalmente estable ? Porque no visto ni un comentario de ningún usuario que haya probado todavía esta herramientas que has creado.


Segundo: Funciona en Windows7 ? Como se ejecuta el programa ? Estaría bien que hicieras un vídeo de cómo se ejecuta el programa en nuestro PC y explicar cada función hay gente no sabemos y podemos meter la gamba al tocar algo que no sabemos.


Tercero: Esta Herramienta sustituye por ejemplo a malwarebytes ? Te lo pregunto porque vaya se que me instale tu programa y pueda crear conflictos con el malwarebytes que ya tengo instalado en mi Pc, imagino que hace casi la misma funciones que el malwarebytes.

Hola El_Andaluz! llevo desarrollando esta herramienta desde 2015, ya podemos decir que es bastante estable jeje no puedo hacer nada porque la gente comente aquí, pero vengo a solventar tus dudas.

Funciona perfectamente en Windows 7, 8, 10 y 11. La forma de utilizarlo es tan sencillo como ejecutarlo y arrastrar en su interior los archivos a analizar, ya que podemos definir a esta herramienta como el paso previo antes de realizar un reversing a un ejecutable para Windows (Está orientada para el análisis de malware). La mejor definición que he escrito sobre la misma es la siguiente:


Puedes ejecutar un archivo de registro tras la primera ejecución en el sistema para incluirlo en el desplegable del botón derecho de tu escritorio, el cual se crea en la raíz de la aplicación automáticamente para poder mandar las muestras de forma rápida a analizar. También podrás configurar la información que te gustaría obtener de las muestras a analizar desde el botón Show Options, podrás incluir la API de Virustotal para verificar si la muestra ya está subida, crear reglas personalizadas para la detección con firmas entre otras cosas. Puedes estar tranquilo ya que el malware que analices, jamás se ejecutará desde esta herramienta.. ya que toda la información obtenida se realiza en estático, puede ser muy útil para los analistas de malware.

Es una herramienta única en su género, ya que agrupa detección de métodos de evasión antivirus, detección de packers, extracción de información que pueda ser de interés para un analista de malware, así como la lectura de la estructura PE, obtiene las primeras instrucciones en ensamblador tras el Entry Point para ser analizado automáticamente e incluso ideas propias para la detección de anomalías en los ejecutables.

No viene a ser una herramienta de detección de malware activa como malwarebytes, pero sé de buena mano que las compañías antivirus la están utilizando activamente para catalogar las muestras en sus productos de forma manual.

En esta entrada de mi blog tienes capturas de la ventana con alguna información obtenida en pruebas reales con malware resaltada:

https://www.enelpc.com/p/4n4ldetector.html (https://www.enelpc.com/p/4n4ldetector.html)
Cualquier duda házmela saber!  ;)

Si fuera estable no estarías actualizando cada X tiempo la herramienta me refiero que tu mismo pones versión beta en cada versión.



Dices que es una herramienta de análisis estático eso quiere decir que se basa en el proceso de analizar un archivo sospechoso sin ejecutarlo ? Yo lo que quiero saber si tu programa es como Malwarebite es decir donde aparece varias opciones de análisis por ejemplo tenga la opción de analizar objetos en la memoria, analizar registro y elemento de inicio y que pueda analizar dentro de los archivos, no que tenga tu que arrastrar los archivos para analizarlo y que tenga analisis en busca de rootkits, osea que sea darle un botón y marcar esas opciones y vaya analizando en busca de archivos sospechosos dado que yo por ejemplo no tengo suficientes conocimientos para saber de tal archivo sospechoso me refiero hay archivos que están ocultos y pueden ser maliciosos y yo no saberlo por eso te pregunto si tu programa puede hacer casi lo mismo que malwarebite.

Después tiene la opción el programa de ponerlo en Español ? Lo veo todo en Ingles y no entiendo nada de cada opción. Osea que tenga la opción de cambiarlo en Español, no estaría mal un manual en español de cada función del programa. Esto Último es solo una Opinión.




Y no puede hacerla que sea una herramienta de detección de malwares como el malwarebyte sería la hostia.

Gracias por responder tan rapido pero insisto si puede hacer un vídeo del programa explicando cada función estaría de lujo.

Lo estuve mirando:
1)Me parecen muchas líneas para el Entry point, con las 3 primeras sobran
2)  Quizá poner los offset de las direcciones
3)Dentro de las opciones no figura para aumentar el tamaño de fuente o no lo vi, solo los colores.
4) Sé que a los "programadores" les gustan las aplicaciones mononeuronales en inglés, pero hay personas que también disfrutan del español, opción que  no existe.

Buenos días El_Andaluz!


La única versión BETA que saqué entre medias fue la previa a la 1.9, hice una reestructuración importante y la comunidad me ayudó a pulir algunos errores. Saco versiones nuevas de continuo porque no puedo luchar contra tanta creatividad jajaj


Exacto, esta herramienta no realiza ejecuciones de las muestras.. anteriormente sí tenía una opción en la que mediante un dump del proceso se analizaban las trazas y en algunos casos se extraían módulos de configuración de troyanos conocidos. Aunque esa funcionalidad no la eliminé de la aplicación, ya no se pueden ejecutar muestras desde la herramienta. Nunca lo hará, y tampoco tiene funcionalidad de antivirus, no realiza análisis de la memoria porque no es su función. Hay una gran cantidad de conclusiones que se pueden obtener de un análisis estático y esa es la parte que ocupa 4n4lDetector.


Quizá me piense poner la opción algún día, doy por hecho que todo el mundo que la utiliza la puede entender y quizá no sea así.


Nada jeje tu piensa que aunque el cometido sea analizar malware, son herramientas muy diferentes.. esta ayuda al analista de malware y no al usuario. Un día preparo una demo con algunas muestras y lo comento.



Hola reymosquito, vamos a por más cuestiones!

No lo voy a discutir, pueden sobrar el resto con tres líneas.. es cuestión de gustos, yo prefiero ver un poco más del contexto inicial.

Esto lo pensé en su momento. Pero según tengo el desarrollo y encontrándole la utilidad real, pienso que no es necesario, cuando vas a buscar una cadena a un editor hexadecimal no sueles buscarla por la dirección estática sino que buscas la cadena directamente. Terminé por desestimar la idea en su momento.

En el modo vista Web actualmente solo tengo puesta la opción de colores, es algo así como un informe que puedes exportar para pegarlo en un documento.. la realidad es que cuando lo pegas allí, el analista tiene que ajustar el tamaño y la fuente para que se ajuste con el estilo de su documentación.

Sí como le contesté a El_Andaluz quizá plantee ponerla al español, aunque traducir algunas opciones será de risa jeje

Sé que la gente grita más cuando hago esto.. https://www.youtube.com/watch?v=sKxbsIAUffE (https://www.youtube.com/watch?v=sKxbsIAUffE) que con lo que vengo a mostraros hoy, pero es que estoy creando un monstruo y lo quería compartir  >:D

 v2.3
  ------------------------------------------------
 

• Agregada una nueva funcionalidad que permite elegir los tamaños de los archivos a analizar.
• El proceso se ejecuta con alta prioridad durante el tiempo que dura el análisis y mientras se realizan algunas tareas demandantes.
• Solucionado un bug que podía terminar con un cierre inesperado de la aplicación tras el análisis de un tipo de ejecutable malformado.
• Solucionado un bug que podía terminar con un cierre inesperado de la aplicación tras el análisis de un tipo de cabecera malformada.
• Deslimitado el número de caracteres mostrado en el visor de análisis por defecto, repercutiendo en la vista web y en los análisis desde consola.
• Deslimitado el número de caracteres mostrado en el visor de código HTML desde la vista web.
• La extracción de funciones en la export table ahora se aumenta de 130 a 400 en el apartado de carving.
• Solucionado un bug que podía colgar el programa durante la extracción del nombre de las secciones.
• Se optimizó el uso de los Timers de la herramienta durante el tiempo de análisis.
• Se incluyeron  multitud de detecciones en formato Unicode para el archivo de reglas "4n4l.rules".
• Solucionado un bug que podría desactivar el botón de Export Table para algunas librerías.
• Solucionado un bug que podría generar multitud de caracteres basura tras el análisis de ciertos archivos UPX.
• Se han realizado optimizaciones con el uso de la memoria de la aplicación.
• La barra de programas ahora muestra la cantidad de caracteres del reporte de análisis.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.3 (https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.3)

Debe ser una buena herramienta pero el nombre no la ayuda... eso de 4n4ldetector suena a término de un proctologo que es el que se ocupa del diagnóstico y tratamiento de las enfermedades anales, del recto y el colon... debe ser que la llamaste porque tu eres algo chistoso a según tus comentarios aquí y en otros sitios...

Saludos.

 :rolleyes: :o :rolleyes:

En realidad quería ser humorista, pero la seguridad informática me resultaba más sencilla..

Un saludo! ;)

Una herramienta útil para analizar... o dar apoyo al desarrollo de malware indetectable? Eso es cosa tuya... a mí no me líes  >:D

   v2.4
  ------------------------------------------------
  

• Deslimitado el número de caracteres mostrados en el visor de Strings, afectando también a la Export e Import Table.
• Se han realizado optimizaciones priorizando la estabilidad de la herramienta a costa de la mínima pérdida de velocidad durante los análisis.
• Agregada la extracción de la rama SYSTEM del registro.
• Se ha optimizado la herramienta Strings impactando muy positivamente en su velocidad.
• Se expandió la recolección de nuevas cadenas de la herramienta Strings.
• Se agregó un nuevo módulo de búsqueda de cadenas llamado Inlligent Strings. (Busca palabras clave tal y cómo haría un analista de malware)
•     -> Incluida una función de limpieza para rutas y direcciones de internet que afecta a este módulo.
• Incluido un control de tiempos tras finalizar los análisis en el título del formulario principal.
• Bloqueada la opción de arrastrar muestras sobre el código Web evitando la opción de ejecutar.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.4

Regalo navideño anticipado como viene siendo costumbre... 👹

   v2.5
  ------------------------------------------------
 

• Aumentada la efectividad y la detección de nuevas sintaxis en el módulo "Inlligent Strings" y en la funcionalidad "Strings".
• La pestaña de análisis almacena la información de estadísticas en el título del formulario de la sesión actual.
• Se incluye un aviso de detección de cadenas demasiado largas para el buscador y se asigna el singular para una coincidencia.
• Se actualizó con las nuevas reglas toda la base de datos de Detect It Easy "DIE" a fecha de 5 de diciembre de 2023.
• Se incluyeron reglas nuevas al archivo de "4n4l.rules".
• Se eliminó el botón de añadir archivo desde la interfaz principal, ahora la interfáz gráfica contará solo con la posibilidad de arrastrar archivos para analizarlos.
• Se incluyó una opción nueva para analizar el contenido de los accesos directos "LNK" con o sin su extensión por defecto.
• Solucionado un bug estético que afectaba a algunas pantallas UltraWide de altas resoluciones.
• Mejorada la integración del módulo redimensionador de ventana para sistemas operativos Windows 7, 10 y 11.
• Se incluyó un botón de acceso rápido a la vista por defecto "Show Options" en el caso de haber redimensionado la ventana.
• El botón de "Show Options" ahora cambia a "Hide Options" en base a las redimensiones que sufra el formulario principal y cuando se acciona el botón.
• La aplicación ahora abre las opciones en cada inicio para mantenerlas a la vista durante su uso.
• El avance del análisis cambia el color del nombre de los módulos, dentro del apartado de opciones en tiempo real según avanza.

•     -> El rojo indica el módulo en el que se encuentra la herramienta analizando.
      -> El amarillo indica el final del análisis para ese módulo.
      -> El blanco indica que la herramienta no ha analizado con ese módulo.

 

• Por favor no toquen el botón rojo o vendrá Belcebú, Gracias.

Descarga: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.5 (https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.5)

Sin duda la actualización más grande de #4n4lDetector ya para descarga! 😅

   v2.6
  ------------------------------------------------

• Ha sido inlcuido un nuevo formulario con acceso a un Area Online.
•     -> El botón "[Online Area]" abre un formulario con notificaciones en tiempo real que pueden ser modificadas por mí en cualquier momento.
•     -> Es posible responder a los contenidos de las notificaciones a través del botón "Reply" mediante correo electrónico.
•     -> El contenido de las notificaciones será meramente informativo sobre el estado de desarrollo de la herramienta o alertas de malware actuales.
•     -> Desde el apartado de File Rules es posible descargar y modificar los nuevos archivos "4n4l.rules" y "EP.rules" con facilidad.
•     -> La fecha y hora actuales se incluye al inicio de los archivos tras cada descarga para dejar constancia de su modificación.
• Se incluye una funcionalidad de carving para la revisión de cabeceras PE en el interior de los archivos analizados.
•     -> Si se identifican ejecutables se calcula el tamaño de sus PE y se extraen al disco.
•     -> Los archivos extraídos se almacenan con el nombre del Offset de inicio del que se extrajeron y se asigna una extensión no ejecutable.
•     -> La carpeta de almacenamiento de los archivos PE extraídos es la misma que la de almacenamiento de análisis HTML.
• Se incluye un botón "[GO]" en el módulo "PE Carve" que abrirá la carpeta de los archivos creados, en caso contrario abrirá la carpeta de análisis.
•     -> Un parpadeo luminoso en el botón "[GO]" avisará al usuario cuando la carpeta que contiene a los archivos se genere.
• Se incluye un apartado de reglas para la detección de exploits.
•     -> En los Entry Point desde el diccionario "EP.Rules"
•     -> En el diccionario de "4n4l.Rules"
•     -> En los recursos
• Multitud de optimizaciones han sido incluidas para mejorar los tiempos de análisis.
• Se ha eliminado la funcionalidad de cortador de archivos por falta de uso de la comunidad debido a que ya se analizan muestras más grandes.
• Se ha realizado un cambio del icono del formulario principal y el del ejecutable de la aplicación.
• Se corrigieron pequeños defectos visuales que se daban en alguna configuración del sistema inusual de los sistemas Windows 10 y Windows 11.
• El botón de "Show Options" se lanza con un retraso de un segundo en la primera ejecución.
• La ruta de almacenamiento de los documentos HTML pasa a encontrarse dentro de una carpeta con nombre del hash MD5 del archivo analizado.
• El módulo de configuración de RATs pasa a formar parte del módulo de Heurística deshabilitado por defecto.
• Aumentada la efectividad del algoritmo de carving para la extracción de funciones de la Export Table que puedan encontrarse perdidas.
• Las estadísticas de tiempo y tamaño del contenido del análisis se mantienen en el título de la pestaña del WebView.
• Desde la pestaña del WebView ahora se puede aplicar otro color de fondo para la generación del archivo HTML.
• El código que realiza la extracción de direcciones IP ha sido revisado, mejorado y optimizado priorizando su velocidad y efectividad.
• El módulo interno de "Known IP/Domains" ahora cuenta con una lista ampliada de detecciones de servicios DNS.
• Solucionado un pequeño bug que pintaba de amarillo uno de los módulos sin encontrarse la opción de su análisis habilitado.
• Solucionado un pequeño bug que omitía la primera cadena del buffer de "Intelligent Strings" y de la funcionalidad de "Strings".
• El código de colores de la herramienta ahora marca los botones morados como una (conexión directa a internet).
• Los botones de los formularios ahora muestran un indicativo de su accionación.
• Aumentada la detección de nuevas sintaxis en el módulo "Intelligent Strings".
• Detección de Mimikatz por diccionario "4n4l.Rules".
• Corrección de algunas reglas del diccionario de detección de Entry points conocidos y del diccionario "4n4l.Rules".
• Detección de SysCall desde "4n4l.Rules" por Miguel Ángel Arenas.
• Opción de reanalisis de muestra en el formulario principal idea de Miguel Ángel Arenas.

Descarga:https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.6 (https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.6)

Ha sido un mes a base de cariño sin descanso, para sacar esta versión... espero que la disfruten!  ;-)

 v2.7
  ------------------------------------------------
  

• Se ha implementado el análisis de ejecutables para arquitecturas ARM de 32 y 64 bits (ARMv7 y ARMv8).
• Se agregó una opción llamada "Sections Info" que incluye información adicional sobre las secciones.
• Corregidas las tabulaciones que podían no aparecer en algunas líneas de los reportes en varios módulos.
• Agregada la captura de posibles Logins a "Intelligent Strings".
• El módulo de "Intelligent Strings" ahora separa correctamente los nombres de las librerías de la "Import Table".
• Se corrigió un fallo en un caso raro que podía ocultar el botón de "Export table" tras una visualización del contenido del mismo.
• Eliminados los saltos de línea extras que se incluían al final de todos los reportes.
• Mejorada la recolección de consultas SQL del módulo seleccionable en el panel de opciones derecho.
• Se realizó la optimización del código del antiguo "Area Online" y del resto de nuevas opciones del ahora llamado "Settings".
• Se organizaron e incluyeron nuevas reglas para revisar Entry Points desde el archivo "EP.rules".
• Se incluyó el botón "[C]" para seleccionar el color de las letras de la aplicación con función de autoguardado.
• Se reestructuraron y ajustaron las opciones del panel del formulario principal.
• Se incluyó el resultado de Virustotal como parte activa del panel derecho del formulario principal.
• Se aumenta el tamaño de archivo máximo a analizar a 10MB por defecto.
• Se agregó la extracción de las direcciones en disco de la IT, ET e IAT en el apartado de Información.
• Se agregó una barra de progreso que aparece durante los análisis a la izquierda del formulario principal.
• Se desarrolló un mejor control de archivos a analizar y se mejoró el control de errores.
• Se movió la funcionalidad del contador de "NOP Caves" a la opción de "Entropy/Recount".
• La opción "Rich Signature" pasa a ser "Signatures" pues también incluye ejecutables firmados.
• Se ha agregado la verificación de las firmas de los ejecutables y ahora podemos encontrar los siguientes tipos.
[-] Ejecutables firmados.
      [-] Ejecutables no firmados.
      [-] Ejecutables firmados pero modificados.
      [-] Otros... 0.0
  
• Se corrigió un bug que impedía hacer análisis por consola en la anterior versión y se mejoró el código de esta funcionalidad.
[-] Se incluyó el parámetro "-HELP" o "?" para mostrar la ayuda desde el modo consola.
      [-] Se hizo compatible con mayúsculas y minúsculas.
  
• Aumentada la extracción de los primeros 40 bytes del Entry Point a un total de 50 bytes.
[-] Esto además aumenta la efectividad del archivo de reglas "EP.rules".

Descarga:

https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.7 (https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.7)

Ya ha salido la versión 2.8 de #4n4lDetector junto a un vídeo para aprender a analizar el servidor del troyano #LarryLurexRAT. Este se trata de una modificación de #DarkComet realizada desde #debugger por mí mismo. También reviso técnicas de evasión de motores antivirus basados en comportamiento y sistemas #EDR. Además, abordo la extracción de #IOCs y la recolección de información previa a un ejercicio de #reversing de #malware.

Descarga:
https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.8
Vídeo:
https://www.youtube.com/watch?v=-zCPk_nuY4c

Añadidos en esta versión:
  

• Se añade un aviso en el apartado de secciones cuando la sección identificada sea ejecutable.
• Ahora se calculan también los Hashes SHA-256 y SHA-1 de todos los archivos analizados.
• Incluído el nombre original de la librería analizada en el botón de "[Export Table]".
• Ahora 4n4lDetector es capaz de identificar contenido en las Import Table a pesar de que el Offset "Original First Thunk" se encuentre a "0" como en los comprimidos de UPX.
• El módulo "Settings" ahora tiene una sutíl optimización para evitar congelamientos durante la descarga de las notificaciones.
• Se ha optimizado el código encargado de la extracción de recursos, ahora es más rápido.
• Se ha reestructurado la extracción de los Entry Points, optimizando su código y mejorando la velocidad de extracción.
• Se optimizaron y eliminaron algunas de las reglas internas de 4n4lDetector para evitar algunos falsos positivos.
• Se modificó el algoritmo extractor de descripciones de archivo, ahora es más efectivo.
• El resultado del Carving PE se almacena ahora en una carpeta llamada PECarve dentro del apartado de análisis. 
• Se reubicó la información de Virustotal en el panel principal. (Utilicen sus API_KEY personales).
[-] SORRY MICROSOFT... Creo que estamos en paz después de esa detección de CobaltStrike <3 
  
• El apartado de "IT Functions:" del análisis principal pasa a llamarse "Suspicious functions:", siendo este más acertado.
[-] Ahora las funciones cuentan con una descripción de sus funcionalidades.
  
• Ahora la funcionalidad de "Strings" se ejecuta de manera automática, visible en el botón "S" tras los análisis mientras "Intelligent Strings" esté activo.
[-] Aumentada la efectividad y la velocidad del módulo "Intelligent Strings" y de la funcionalidad "Strings".
  
• La opción "Sections Info" ahora es interna y en su lugar se ha creado una opcional para descomprimir muestras UPX.
[-] Las muestras descomprimidas se almacenan en la ruta de análisis, dentro de una carpeta llamada UPX.
      [-] El binario UPX se encuentra en la raíz de 4n4lDetector, en una carpeta llamada "bin" siendo modificable por el usuario.
  
• Ahora se agrupa la verificación de ejecutables firmados,la firma del checksum y la firma Rich en el apartado "Signatures".
• Cambios en el manejo de la firma Rich.
[-] Se extrae la firma al completo, no solo la primera parte.
      [-] Se agregó un hash para su detección.
      [-] se verifica la integridad de la misma con una revisión del algoritmo antiguo.
  
• Se ha agreado una herramienta nueva para realizar extracción de Offsets diréctamente del ejecutable y visiualizar sus contenidos.
[-] Ahora es posible realizar búsquedas de código manualmente en hexadecimal, ASCII y UNICODE.
      [-] También se ha incluido una funcionalidad para revisar el código en ensamblador.
      [-] Esta herramienta ejecuta sus funciones principales de forma automática con el Entry Point tras cada análisis.
  
• Se agregó la extracción de las tablas de importación y exportación del resto de arquitecturas ejecutables existentes.
[-] Alpha AXP, ARM, EFI Byte Code, EFI Byte Code (EBC), Hitachi SH3, Hitachi SH3, Hitachi SH3, Hitachi SH4, Hitachi SH5, Intel Itanium (IA-64), Intel i860, M32R, MIPS16, MIPS16 with FPU, MIPS R3000, MIPS R4000, MIPS little-endian, MIPS little-endian WCE v2, MIPS with FPU.

4n4lDetector se ha comido la tarta entera. No encontrarán forma más rápida, estable y certera de realizar un análisis estático de malware, extracción de IOCs y pre-reversing.
Esta versión junto a la posibilidad de revisar el buffer original del archivo, en formato texto y hexadecimal hace esta tarea mucho más sencilla.
Además incorpora la gráfica analizando la estructura PE de forma visual y la posibilidad de identificar cualquier cadena desde el buscador de la herramienta sin límites entre otras muchas funcionalidades descritas a continuación.

(https://scontent.fmad20-1.fna.fbcdn.net/v/t39.30808-6/450909064_10161337512242970_2289853408929311744_n.jpg?_nc_cat=106&ccb=1-7&_nc_sid=127cfc&_nc_ohc=VvaURih_-dgQ7kNvgEE1CXu&_nc_ht=scontent.fmad20-1.fna&oh=00_AYCxok8epB41q8LtgrCnEXV1ltXA65GoXAYVi3c8zjwTYA&oe=66973BBC)

Descarga:
https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.9 (https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.9)

Añadidos en esta versión:
 

• Nuevo logo de la aplicación por Sandra Badia Gimeno (www.sandrabadia.com).
• Reubicadas las funciones Kernel-mode al apartado Suspicious Functions.
• Se incluyeron sorpresas para no aburrirse con el uso diario de la herramienta.
• Se realizaron multitud de pruebas enfocadas a dar la mayor estabilidad, velocidad y eficacia de los contenidos extraídos.
• Optimización durante el estado en reposo. Ya no se realizan comprobaciones de creación de ficheros para las funcionalidades de PECarve y UPX.
• Se incluyó la detección de las secciones que permiten escritura desde los flags.
• Se ha mejorado levemente la extracción de funciones de la "Export Table" mediante Carving.
• Se ha incluido el nombre del archivo bajo análisis en el contenido del informe.
• Se agregó una descripción más extensa sobre las posibilidades de la función Zombie_AddRef.
• Se corrigió un bug en el que el dump de la herramienta "Show Offsets" no permitía leer una pequeña porción del final del archivo analizado.
• Ahora al hacer click sobre el resultado de Virustotal del formulario principal, este nos llevará a la página web del análisis.
• Se ha incluido el análisis de Virustotal a los análisis realizados desde el modo consola.
• Revisión de las detecciones de Shikata_ga_nai y actualización de lo métodos heurísticos de detección de Payloads.
• Aumentada y mejorada la funcionalidad de extracción de consultas de la rama de registros ASCII y UNICODE.
• Aumentada y mejorada la funcionalidad de extracción de consultas SQL ASCII y UNICODE.
• Aumentada y mejorada la funcionalidad de extracción de URLs, también busca FTP y SFTP en ASCII y UNICODE.
• Aumentada y mejorada la funcionalidad de extracción de nombres de archivos ASCII y UNICODE.
[-] .EXE, .DLL, .BAT, .VBS, .VBE, .JSE, .WSF, .WSH, .PS1, .PSM1, .PSC1, .SCR, .HTA, .DLL, .PIF, .MSI, .MSP, .SYS, .CPL, .JAR, .TXT, .INI, .PDF, .WDS, .DOC
 
• El buscador de palabras ha sido completamente deslimitado para cualquier ubicación de búsqueda de las cajas de texto.
[-] En la vista web el buscador ahora se bloquea automáticamente.
 
• Solucionado un raro bug en el apartado de IPs que podía llevar el hilo de ejecución a un bucle sin terminar de analizar los archivos.
[-] Esta solución además corrigió la posibilidad de terminar análisis con una sola opción activa en el panel de módulos de la herramienta. 
 
• El módulo de 4n4l.rules convierte ahora internamente las reglas en formato texto "T:" en formato Unicode.
[-] Se optimizaron las reglas de este archivo, ahora busca más con menos.
 
• Se aumentan de 100 hasta 1500 los bytes a revisar en el Entry Point por el archivo de reglas.
[-] Se revisaron algunas de las reglas para eliminar falsos positivos tras la actualización.
 
• La lectura de los archivos de reglas se hace una sola vez tras arranzar la aplicación o tras el primer análisis, después queda cargado en memoria para próximos usos.
[-] El estado de carga se puede revisar desde el apartado de "Settings".
 
• Se agregó la virgulilla (~), el dolar ($), la comilla simple (') y la comilla doble (") cómo caracteres que pueden formar parte de los reportes.
[-] Se aplica un filtro de conversión a estas comillas para la vista Web de la herramienta.
 
• Se trabajó en la eficiencia del módulo "Intelligent Strings". 
[-] Se aumentó la longitud de cadenas a analizar en todas las funcionalidades de Strings de la herramienta (75% cadenas más largas).
      [-] Ahora se realiza una limpieza específica de caracteres anómalos y se permiten nuevos.
      [-] Se extendieron las palabras de búsqueda.
 
• Agregada una gráfica encargada de visualizar el contenido de los ejecutables y cualquier archivo analizado.
[-] La cabecera ejecutable se muestra de color azul.
      [-] Las secciones identificadas se encuentran divididas entre el color magenta para las secciones ejecutables y el color negro para el resto.
      [-] El código sobrante de los ejecutables tendrá un color rojo cómo en Crypters, Binders, Joiners...
      [-] Si la sección analizada contiene un RSize a cero, el contenido de la misma no será pintado en la gráfica.     
      [-] Si el archivo no es un ejecutable de Windows, se analizarán los caracteres imprimibles y la ausencia de los mismos. De color azul y el negro cuando no exista contenido.
      [-] Al realizar doble click sobre la gráfica, esta automáticamente se guardará en la carpeta de análisis.
      [-] Las ejecuciones medinate el modo consola de la aplicación "-TXT", "-HTML" o "-GREMOVE" incluyen la gráfica cómo salida de análisis.

Te imaginas obtener un análisis estático de malware y generar una regla Yara funcional en menos de un segundo? ¡Con la versión 3.0 de 4n4lDetector, eso será una realidad! Esta nueva versión incluirá un innovador sistema de progresión basado en medallas, donde los analistas podrán desbloquear nuevas funcionalidades y personalizar estilos visuales mientras aprenden y se divierten. Además la herramienta cuenta con una base más optimizada, repleta de nuevas detecciones que cubren desde malware genérico hasta sofisticadas APTs y mucho más 🥰

 Descarga:
https://github.com/4n0nym0us/4n4lDetector/releases/tag/v3.0 (https://github.com/4n0nym0us/4n4lDetector/releases/tag/v3.0)

 

• El código de búsqueda de funciones de la Import Table y Call Api By Name ha sido optimizado.
• Se ha realizado una optimización general con uno de los buffers más grandes en memoria, esto afecta positivamente a la estabilidad y velocidad del análisis general.
• Aumentado por defecto el peso del archivo a analizar a 50MB.
• Se realizó una optimización en el buscador de la opción "Show Offsets" y en el manejo de los buffers.
• Se incluyeron búsquedas de términos sobre malware genéricos, diferentes tipos de explotación, APTs y terminologías que puedan afectar al Estado en "4n4l.Rules".
• Se realiza una limpieza de bytes nulos 0x00 de la variable dónde se almacena el reporte para evitar bugs en la salida de la caja de texto del formulario principal.
• La interfaz de la herramienta toma un tono más oscuro de base.
• Se incluye un botón de donaciones a través de (PAYPAL) ya que he decidido finalmente seguir con el proyecto de forma pública para todo el mundo.
• Se corrigió un bug en el que se podían incluir falsas funciones a la lista de la "Export Table" mediante carving.
• El módulo de Interest's Words incluye nuevas palabras internas de la herramienta, para ansi y unicode.
• Se corrigió un bug en la vista web que podía afectar estéticamente la vista del enunciado del módulo Interest's Words.
• Se realizaron optimizaciones en el módulo Known IP/Domains para ansi y unicode.
• Se incluyen nuevas sintaxis de búsqueda en el módulo "Intelligent Strings" para aumentar resultados de interés.
[-] Se agregan sintaxis internas de limpieza para mostrar resultados más estilizados.
            [-] Se ha realizado una optimización con impacto directo en las variables utilizadas en este módulo.
 
• Se realiza una limpieza más selectiva de las URLS extraídas:
[-] Las URLs con extensiones en el contexto de certificados digitales PKI son reconstruidas.
            [-] Las extensiones htm son reconstruidas.
            [-] Las terminaciones de dominios ".com" son limpiados.
            [-] Se realizan limpiezas de posibles códigos HTML.
 
• Se ha incluido un sistema de progresión basado en medallas.
[-] Medalla Brown Padawan, Bronze Medal, Silver Medal, Gold Medal y Platinum Medal.
            [-] El proceso puede ser lento, no te desesperes... porque merece la pena.
            [-] Estas medallas se conseguirán a medida que le des uso a la herramienta durante el paso de los días, semanas, meses y consiguientemente también aumentarán sus funcionalidades progresivamente.
            [-] Las medallas solo funcionarán en la máquina de trabajo en la que se hayan conseguido, si quieres hacer que funcione en otra máquina tuya inténtalo por ti mismo (Eres un hacker no?).
            [-] Las funcionalidades o sorpresas que deparan las subidas de nivel no son incluidas en este archivo, aunque podrás revisarlas en el apartado "Settings" de la herramienta.