4n4lDetector v1.1

Iniciado por 4n0nym0us, 14 Junio 2015, 19:42 PM

0 Miembros y 1 Visitante están viendo este tema.

4n0nym0us

Sencillamente se trata de una nueva herramienta para hacer análisis sobre archivos ejecutables de Windows, con el objetivo de identificar de forma rápida, si este se trata o no de un malware. La mayoría de análisis se basan en la extracción de strings "ANSI" y "UNICODE" de los ejecutables en disco, aunque también trabaja con "Memory Dumps" de los binarios que analicemos. Como es lógico, esta última opción podría comprometer la seguridad de su equipo al ejecutar las muestras, con lo que se recomienda hacerlo en sistemas de laboratorio. Desde la ayuda de esta aplicación, se puede ver todo lo que es capaz de analizar, algo que seguirá creciendo y puliéndose en base a nuevas versiones.

  • Agregada una línea de comando, que escribe el reporte en la raíz.
          Uso -> (4n4lDetector.exe c:\malware.exe)
  • Agregadas nuevas palabras al módulo "Interest Words".
  • Agreada la extracción del campo Subsystem, asociada al tipo de aplicación y Size Of Image.
  • Corregido un bug en la representación de las posibles compilaciones escondidas detrás de UPX.
  • Incluidos nuevos ejecutables para extraer líneas de comandos.
  • Incluida la extracción de nuevas rutas de registro.
  • Agregada la extracción de nuevas API, detecciones de llamadas a funciones mediante Call API By Name, Call API By Hash y mZombieInvoke.
  • Agregado un nuevo binario, para ejecutar librerías x86 en memoria, dentro del modo de ejecución.
  • Detección de métodos Anti Deep Freeze.
  • Mejorada la extracción de URLs Unicode.
  • Reorganización de búsqueda de información sobre binarios no ejecutables.
  • Detección de falta de permisos para el acceso a los binarios a analizar.
  • Rutina de detección de ejecutables Dropper, para Crypters, Joiners y Binders.
  • Rutina de extracción de rutas con binarios ejecutables mejorada.

    Imagen


    Descarga:
    http://www.enelpc.com/p/4n4ldetector.html
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.

x64core

En Windows XP (32-bits) muestra varios mensajes de errores del RunTime al intentar probarlo: "Invalid procedure call or argument", "Path not found".

En Windows 7 (32/64-bits) funcionó como deberia supongo.

En Windows 8.1 (64-bits) el programa genera una excepcion sin mostrar algun mensaje y se cierra. Lo intenté con programas como notepad, mspaint y con muestras.

4n0nym0us

Muchas gracias por el testing!!  :-*

La aplicación se encuentra desarrollada en Visual Basic 6 y he trabajado con ella en Windows 7 64 bits y 8.1 64 bits sin problemas. En XP ni lo he mirado la verdad, pero puede tratarse del List para hacer Drag&Drop, le echaré un vistazo.

Saludos!  ;D
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.

x64core

En mi 8.1 no muestra nada solo se cierra. Otra cosa: ¿Aceptando criticas constructivas? ->
Ya que es un aplicación basada en el escaneo de la imagen PE y ciertos patrones que se encuentren puede que te interese agregar caracteristicas como:

- Detección de anomalias en la imagen PE: Analisis del Rich Signature, Secciónes de código con privileges inusuales ( Ejecución y escritura ), analysis de FileHeader->TimeDataStamp, analisisi de OptionalHeader->CheckSum, numero de secciones y muchisimas cosas que se pueden analizar.
- Escaneo y analisis de todos los directorios del PE:
    + Import/IAT: Blacklist de simbolos/functiones importadas comúnmente usadas en Malware ( Ejemplo: AdjustTokenPrivileges, DuplicateToken, etc ).
    + Debug: mostrar posible información de depuración.
    + Resource: Usar esos mismos algoritmos para escanear por posibles imagenes PE en los recursos u otro tipo de patrones en cada recurso, además de encontrar inconsistencias en la estructura.
Todo eso si lo escribes de forma modular seguro que se te hará facil agregar funciones para la deteccion de posible Packers, Crypters, obfuscadores, etc.

4n0nym0us

Gracias nuevamente por las ideas! voy poco a poco cuando saco ratos libres... Seguiré centrándome en el formato PE, a ver si saco cosas interesantes, más que nada para transformar la información obtenida del PE en algún tipo de detección.

Aunque me gustaría que quedase claro que ni esta herramienta es un antivirus, ni tampoco un editor PE... tan solo extrae información que puede resultar util a la hora de identificar si un binario es malintencionado o no.

Por cierto... ¿Te gustó la herramienta?  :huh: Me mosquea que no te funcione en el 8.1... jajaja a mi me va perfecta :xD
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.

4n0nym0us

FUnciona en todos los sistemas... vas a tener que revisar tus máquinas de pruebas  :silbar:



No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.

x64core

Ambas instalaciones "frescas" sin ninguna actualización o algo.

OnTheCore

CitarAgregada la extracción de nuevas API, detecciones de llamadas a funciones mediante Call API By Name, Call API By Hash y mZombieInvoke.

Como haces para detectar Call API By Hash? las apis pueden estar hasheadas con cualquier algoritmos un numero indeterminado de veces con indeterminados numeros de salts?.

Y te doy una idea. Podrias calcular la entropia de las secciones para detectar packers ;).

Un saludo.

4n0nym0us

Sí tienes razón OnTheCore, realmente tenía algunos hashes apuntados para detectar con ese algoritmo los Call API By Hash, y realmente es algo que terminé desechando. Tengo que borrarlo del help. Sorry!
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.

4n0nym0us

Mover la herramienta, creo que vale la pena que la prueben. infinito10 vos quien sos?  ;D

Por cierto x64Core, ya incluí una rutina de detección para anomalías en el Rich Signature... estará en las próximas versiones. Muchas gracias.
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.