Vengo cargadito de regalos.. esta última actualización es canela en rama 

 

• Desde línea de comandos por defecto y sin necesidad de utilizar parámetro alguno, se analizarán los archivos abriendo la interfaz gráfica como si se utilizase "-GUI".
• Se incluye la base de datos actualizada de la aplicación Detect It Easy "DIE" funcional para todo tipo de archivos.
• Incluido el análisis de entropía del archivo analizado en el apartado de "Extra 4n4lysis".
• Ahora se bloquean las opciones de arrastrar y añadir archivos mientras se realiza un análisis
• Incluido el cálculo del impHash (x86/x64).
• Se analiza el código ensamblador para los binarios x64 con Capstone Disassembler.
• Se amplía la extracción a 40 bytes del Entry Point perfeccionando las detecciones con "EPRules" (x86/x64).
• El campo TimeDateStamp ahora se muestra por defecto en hexadecimal.
• Solucionado un bug en la conversión Epoch que fallaba para algunos TimeDateStamp.
• Detección del Entry Point raw para todos los binarios x64.
• Mejorada la extracción de información del recurso XML para el nivel de ejecución UAC.
• Mejorada la lectura del campo características en binarios x64 para identificar EXE/DLL.

Github: https://github.com/4n0nym0us/4n4lDetector

Ya tienen disponible la versión 1.9, después de un par de betas públicas se han incluido los siguientes puntos en esta versión estable:

• Incluido un diccionario modificable de reglas con comodines para los primeros 25 bytes del Entry Point, con más de 3.700 líneas de detección de packers y compiladores. 
• Detalles y ajustes en la interfaz.
• El formulario se abre en el centro de la pantalla para mejorar la visión en resoluciones inusuales.
• Agregada la lista de agradecimientos 
• Solucionado un bug en la apertura de ejecutables bloqueados por el sistema observado en Windows 11.
• Solucionado el bloqueo de la carpeta actual al arrastrar manualmente una muestra para su análisis.
• Mejorada la estabilidad del formulario de la aplicación.
• Agregados dos botones que se activarán automáticamente al identificar funciones en las tablas de importación/exportación.
• Se han corregido varios bugs relacionados con la extracción de opcodes en algunos Entry Points.
• Solucionado un bug que podría cerrar la aplicación inesperadamente tras el análisis de ciertos archivos UPX.
• Se incluye un aviso para cuando un usuario ejecuta 4n4lDetector.exe sin los archivos necesarios para su correcto funcionamiento.
• Actualizado el detector de versiones de compresión UPX.
• El módulo de "Emails" se incluye como (opcional desactivado) por defecto, debido a la demora que podía causar en algunos binarios poco comunes.

Blog: http://www.enelpc.com/p/4n4ldetector.html
Github: https://github.com/4n0nym0us/4n4lDetector
  

No te culpo... somos débiles seres.

4n4lDetector v1.9 Beta

Me encuentro desarrollando una nueva versión de cuyo nombre prefiero no acordarme… y se me ha ocurrido la idea de dárosla a probar para que me ayudéis a dejarla lo más pulida posible. Entre la versión anterior y esta he realizado varios cambios detallados en el archivo “Leeme”, otros destinados a mejorar la estabilidad del formulario y los cierres inesperados por parte de archivos “raros”. No obstante me gustaría incidir en este último punto, ya que desarrollar una herramienta que analice cualquier tipo de archivo sin que explote en añicos puede ser un reto atractivo para cualquier enfermo mental que se precie. De tal manera, comparto con la comunidad esta versión Beta para encontrar esos archivos “raros”, preferiblemente ejecutables que deriven en errores de ejecución para la herramienta.

¿Qué obtendréis a cambio?
Me comprometo a compartir el 100% de las donaciones recibidas hasta el día de hoy con todos los Beta Testers que reporten un fallo. Además incluiré vuestro nombre en la aplicación como agradecimiento en ayudarme a mejorarla.
http://www.enelpc.com/p/4n4ldetector.html

Un cordial saludo 4n4l!

Hola muñecos y muñecas, he seguido actualizando esta herramienta... abro post para dejarles las últimas cositas incluidas, espero que la disfruten 

4n4lDetector es una herramienta de análisis de archivos ejecutables, bibliotecas, controladores y mdumps de Microsoft Windows para x86 y x64. A partir de la versión 1.8, también se incluye un uso extendido para analizar anomalías en los ejecutables ELF de Linux. Su principal objetivo es recopilar la información necesaria para facilitar la identificación de código malicioso dentro de los archivos analizados. Esta herramienta analiza, entre otras cosas, la cabecera PE y su estructura, el contenido de las secciones, los diferentes tipos de cadenas, entre muchas otras cosas. También incorpora multitud de ideas propias para reconocer anomalías en la construcción de los ejecutables y la detección de mecanismos utilizados usualmente en el malware actual.




Descarga: http://www.enelpc.com/p/4n4ldetector.html

Les dejo por aquí la última versión de 4n4lDetector. 

 

• Arreglo de un bug (jodido) con la opción " -TXT" para ejecuciones por consola.
• Añadida la posibilidad de abrir ficheros LNK para resolver automáticamente la ruta del ejecutable.
• El botón "Add File", permite realizar una búsqueda de archivos más sencilla.
• Arreglado un bug en el buscador de palabras de la interfaz principal.
• Mejorada la función de limpieza que elimina caracteres extraños de la salida.
• Agregada la extracción del nombre de secciones.
• Agregada la opción de seleccionar un diccionario de palabras y códigos en hexadecimal para buscar en el binario de forma personalizada.

      -> "H" Define la cadena en hexadecimal.
      -> "T" Define la cadena como texto.
      -> El último campo separado por ":" se trata de la descripción utilizada en la salida de 4n4lDetector.



Descarga: http://www.enelpc.com/p/4n4ldetector.html

En cuanto al idioma es la primera herramienta que publiqué desde su inicio en inglés y no tengo pensado agregar el español, creo que es bastante intuitiva y no tiene demasiados botones como para llegar a confusiones, si hay dudas me pueden contactar sin problemas.

Sobre lo de saber cuando será la versión final, no lo tengo claro, supongo que cuando me aburra de ella o tenga otros proyectos en mente que me roben el tiempo.. por ahora solo tengo Insanity Protector, mientras no se terminen las ideas

Saludos!

Disculpa la tardanza... me había ido a comprar tabaco 

Tengo una versión más actual publicada en http://www.enelpc.com/p/4n4ldetector.html, aunque la versión incorporada dentro del debugger se encuentra más pulida http://www.enelpc.com/p/enelpc-dbg.html.

No obstante ya estoy desarrollando una que puede quedar fina filipina.. además de corregir varios fallos traerá cosas nuevas como creación de reglas de detección simples personalizadas desde un archivo, se extraen los nombres de las secciones además de idetificación de las que contienen el flag de código ejecutable y alguna cosa más, no tardaré en publicarla.

Secciones:
https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22382434_10155687767377970_6893889858829389863_o.jpg?oh=3bc7fd40c66f0dc7f32eeb974914f9c5&oe=5A6EC659

4n4lRules:
https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22290082_10155674573457970_3852618583063143953_o.jpg?oh=ebab4db0a137cb641315793df8a1b7c6&oe=5A698D43

Un saludo!

Tested Insanity Protector
Windows 7, 8.1, 10.



Loader

    It uses two encryption algorithms to prevent antivirus detection after joining with your app. This method is able to Bypass AVs proactives.
    The loader is developed in Visual Basic 6, currently compiled in PECode and FUD.
    Your application will be compressed with UPX by Insanity Software before being encrypted.
    An encrypted RunPE method is used and is out of the loader.
    The loader and the encrypted file are joined with Iexpress. It is also FUD.




23-11-2016
(Loader & Protected.exe)



Download: http://www.enelpc.com/p/insanity-protector.html

Hola buenos días!

No se trata de un malware, incluso está firmada por Microsoft. Puede haber entrado por alguna actualización de Windows... aparece tanta información acerca del sistema porque se trata de un "explorer.exe"