Les dejo por aquí la última versión de 4n4lDetector. 

 

• Arreglo de un bug (jodido) con la opción " -TXT" para ejecuciones por consola.
• Añadida la posibilidad de abrir ficheros LNK para resolver automáticamente la ruta del ejecutable.
• El botón "Add File", permite realizar una búsqueda de archivos más sencilla.
• Arreglado un bug en el buscador de palabras de la interfaz principal.
• Mejorada la función de limpieza que elimina caracteres extraños de la salida.
• Agregada la extracción del nombre de secciones.
• Agregada la opción de seleccionar un diccionario de palabras y códigos en hexadecimal para buscar en el binario de forma personalizada.

      -> "H" Define la cadena en hexadecimal.
      -> "T" Define la cadena como texto.
      -> El último campo separado por ":" se trata de la descripción utilizada en la salida de 4n4lDetector.



Descarga: http://www.enelpc.com/p/4n4ldetector.html

En cuanto al idioma es la primera herramienta que publiqué desde su inicio en inglés y no tengo pensado agregar el español, creo que es bastante intuitiva y no tiene demasiados botones como para llegar a confusiones, si hay dudas me pueden contactar sin problemas.

Sobre lo de saber cuando será la versión final, no lo tengo claro, supongo que cuando me aburra de ella o tenga otros proyectos en mente que me roben el tiempo.. por ahora solo tengo Insanity Protector, mientras no se terminen las ideas

Saludos!

Disculpa la tardanza... me había ido a comprar tabaco 

Tengo una versión más actual publicada en http://www.enelpc.com/p/4n4ldetector.html, aunque la versión incorporada dentro del debugger se encuentra más pulida http://www.enelpc.com/p/enelpc-dbg.html.

No obstante ya estoy desarrollando una que puede quedar fina filipina.. además de corregir varios fallos traerá cosas nuevas como creación de reglas de detección simples personalizadas desde un archivo, se extraen los nombres de las secciones además de idetificación de las que contienen el flag de código ejecutable y alguna cosa más, no tardaré en publicarla.

Secciones:
https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22382434_10155687767377970_6893889858829389863_o.jpg?oh=3bc7fd40c66f0dc7f32eeb974914f9c5&oe=5A6EC659

4n4lRules:
https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22290082_10155674573457970_3852618583063143953_o.jpg?oh=ebab4db0a137cb641315793df8a1b7c6&oe=5A698D43

Un saludo!

Hola buenos días!

No se trata de un malware, incluso está firmada por Microsoft. Puede haber entrado por alguna actualización de Windows... aparece tanta información acerca del sistema porque se trata de un "explorer.exe" 

Holaaa! me alegro de que te guste! la herramienta no realiza peticiones a internet, con lo que quizás en un futuro agregue alguna opción para hacer resoluciones dns y cosas por el estilo... por ahora me centro en los binarios, que tienen para mucho jeje

Saludos! 

El uso es muy sencillo, tan solo hay que arrastrar la muestra a la caja negra. También puedes lanzarla por consola como indica el Leeme.txt o desde el desplegable del botón derecho tras instalar el .REG, que 4n4lDetector crea en la carpeta raíz al ejecutarse.



4n4lDetector solo muestra lo que encuentra. Lo más complejo puede ser entender la información, pero eso depende del nivel del analista.

Saludos!  

MOD EDIT: Imagen redimensionada al maximo acotumbrado en el foro.

Hola qué tal? respondo para todo aquel que tenga dudas:

El punto fuerte de la herramienta es el análisis estático, la opción de los memory dumps para mi es algo secundario, porque esto supone ejecutar la muestra y para eso te montas un cuckoo. Esta mira las estructuras lógicas del PE, en busca de anomalías a causa de modificaciones del binario tras su compilación. Tiene detecciones de métodos para la evasión antivirus, crypters y binders, injertos en code caves, modificaciones de la firma Rich de Microsoft, detección de Payloads y Shellcodes, packers, extracción de strings como rutas, nombres de archivos, emails, IPs, SQL Queries, búsquedas de códigos maliciosos tras los Entry Points, tales como algoritmos o saltos, extracción de claves de registro, verificaciones de la integridad del binario, un modo nuevo para visualizar cadenas que puedan contener información extra, métodos Anti-Debug, Configs de Rats...

La inteligencia para saber si la muestra que te encuentras analizando es un malware, eres tú.

PD: El_Andaluz, ya te digo yo que ni tu antimalware, ni tu AVG, te van a proteger de todo.

Les traigo la última versión de mi herramienta de análisis de malware. ¡Qué la disfruten! 



Descarga: http://www.enelpc.com/p/4n4ldetector.html

 

• Arreglado un bug en la extracción de algunas versiones de UPX.
• Extracción de las SQL Queries contenidas en el binario.
• Se cuentan el número de bloques de 5 NOPs existentes, en busca de Code Caves.
• Se comprueban más códigos inusuales tras el Entry Point.
• Agregada la extracción de funciones Zw (Modo Kernel).
• Agregadas deteciones de polimorfismo. (PEScrambler)
• Agregada una rutina de recuento de caracteres Ascii y caracteres nulos.
• Agregado el botón "Show Options", donde se encuentran muchas de las funcionalidades.
• Agregado un módulo para la extracción de correos electrónicos.
• Agregado un módulo para la extracción de direcciones IP.
• Agregado un aviso al encontrar una firma digital.
• Agregado Drag&Drop a la caja de texto donde se muestra la información.
• Agregado un algoritmo de revision del DOS Header al módulo de Heurística.
• Mejorada la limpieza en la que se muestran las cadenas extraidas.
• Agregado un nuevo botón a la interfáz principal, con el objetivo de visualizar las cadenas que el binario contiene.
• Agregado un buscador de palabras.
• Agregados dos botones que se activan tras la utilización del botón "Strings", los cuales permiten navegar entre la información principal y la obtenida con dicho botón.

Algunos Ejemplos:







Saludos 4n4les!

Actualizo:

Antivirus K.O. Ordinal Numbers vs API Names
Modificación sobre el nombre de las APIs declaradas en un binario, utilizando en su defecto llamadas a las mismas mediante su número ordinal.
http://goo.gl/gpBiM5

Hola Und3r! Es una nueva versión de mi herramienta, he incorporado cosas como el análisis de la firma Rich de Microsoft como un usuario de este mismo foro me comentó anteriormente. Espero que les guste esta nueva actualización, ya que he incorporado bastantes cambios, los dejo a continuación:
 

• Arreglado un bug al mostrar versiones antiguas de UPX.
• Arreglado un bug que afectaba a la detección de algunos Entry Points.
• Agregada la palabra EOF, en la descripción de las detecciones Dropper.
• Aumentada la efectividad de la rutina de detección Shikata Ga Nai.
• Eliminados los ejecutables extraidos con asteriscos (*).
• Revisión de la integridad del formato PE.
• Revisión de la integridad de la firma Rich de Microsot.
• Revisión de la integridad del CheckSum.
• Agregado el campo TimeDateStamp y la fecha de compilación.
• Detección de migraciones del Entry Point a otras zonas de código ejecutable.
• Incorporado un visor de iconos.
• Agregada rutina de detección para aplicaciones en Visual Basic 5/6 con códigos inusuales tras su Entry Point.
• Ampliada la detección de Packers.
• Agregada rutina de detección de ejecutables incompletos (truncados).
• Agregada la creación de un archivo de registro "Add4n4lMenu.reg", para incluir los análisis de forma rápida al desplegable de explorer.
• Agregada la extracción de librerías.
• Agregada la detección de parámetros para el ejecutable 4n4lDetector.exe

          -> 4n4lDetector.exe Path\App.exe -GUI
          -> 4n4lDetector.exe Path\App.exe -TXT
          -> 4n4lDetector.exe Path\App.exe -GREMOVE (Borrado del binario tras su análisis)

Se aceptan ideas nuevas