4n4lDetector v1.3

Iniciado por 4n0nym0us, 24 Mayo 2016, 22:13 PM

0 Miembros y 1 Visitante están viendo este tema.

4n0nym0us

Les traigo la última versión de mi herramienta de análisis de malware. ¡Qué la disfruten!  :P



Descarga: http://www.enelpc.com/p/4n4ldetector.html

 
  • Arreglado un bug en la extracción de algunas versiones de UPX.
     
  • Extracción de las SQL Queries contenidas en el binario.
     
  • Se cuentan el número de bloques de 5 NOPs existentes, en busca de Code Caves.
     
  • Se comprueban más códigos inusuales tras el Entry Point.
     
  • Agregada la extracción de funciones Zw (Modo Kernel).
     
  • Agregadas deteciones de polimorfismo. (PEScrambler)
     
  • Agregada una rutina de recuento de caracteres Ascii y caracteres nulos.
     
  • Agregado el botón "Show Options", donde se encuentran muchas de las funcionalidades.
     
  • Agregado un módulo para la extracción de correos electrónicos.
     
  • Agregado un módulo para la extracción de direcciones IP.
     
  • Agregado un aviso al encontrar una firma digital.
     
  • Agregado Drag&Drop a la caja de texto donde se muestra la información.
     
  • Agregado un algoritmo de revision del DOS Header al módulo de Heurística.
     
  • Mejorada la limpieza en la que se muestran las cadenas extraidas.
     
  • Agregado un nuevo botón a la interfáz principal, con el objetivo de visualizar las cadenas que el binario contiene.
     
  • Agregado un buscador de palabras.
     
  • Agregados dos botones que se activan tras la utilización del botón "Strings", los cuales permiten navegar entre la información principal y la obtenida con dicho botón.

    Algunos Ejemplos:







    Saludos 4n4les! ;)
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.

El_Andaluz

Una pregunta esta herramienta es algo parecido ha Malwarebytes Anti-Malwares ? O es mucho mejor, si no te importa ponernos un vídeo tutorial de como funciona aparte de las imagines no entiendo muy bien.

Sirve para cualquier sistema operativo ?

Saludos y gracias por el aporte.

Arnaldo Otegi

Es una herramienta para el analisis de programas,por ejemplo creas una VM y metes este programa,luego cuando te bajes algun archivo que no sabes si esta infectado,antes de pasarlo al pc lo bajas a la Vm y con este programa puedes ver si se conecta a algun dns o algo asi,y asi puedes saber si un archivo que por ejemplo esta cifrado y es indetectable al analisis,pues con esto lo ejecutas y puedes ver si se conecta a algun sitio y demas cosas para saber si un archivo esta infectado aunque este 0/35,y parece que tiene buena pinta, buen aporte socio.
saludos.

El_Andaluz

Cita de: Inflamable!!! en 25 Mayo 2016, 17:05 PM
Es una herramienta para el analisis de programas,por ejemplo creas una VM y metes este programa,luego cuando te bajes algun archivo que no sabes si esta infectado,antes de pasarlo al pc lo bajas a la Vm y con este programa puedes ver si se conecta a algun dns o algo asi,y asi puedes saber si un archivo que por ejemplo esta cifrado y es indetectable al analisis,pues con esto lo ejecutas y puedes ver si se conecta a algun sitio y demas cosas para saber si un archivo esta infectado aunque este 0/35,y parece que tiene buena pinta, buen aporte socio.
saludos.


Gracias por la explicación pero a que te refieres con crear un VM montarlo en una maquina virtual ?? No puedo hacerlo correr directamente en Windows7 el programa ?


Saludos.

Arnaldo Otegi

Te dije en una maquina virtual,porque si tu vas a bajar un archivo que no sabes si estara infectado,pues tu metes este programa en la   maquina y bajas el archivo ay,y si al ejecutarlo ves que esta infectado,pues te infectara la makina y no el pc entero,porque si tu lo tienes directamente en el pc,este programa lo que hace es ejecutarlo y ver sus conexiones y demas historias que tendra,y si efectivamente el archivo estaba infectado se te cuela pa dentro el virus,no se si esta herramienta tambien te dice que archivos se crearon al ejecutarse y en que carpeta,haber si me animo hoy o mañana y la pruebo,pero como tu dices el video explicando un poco el funcionamiento seria la ostia.
saludos.

El_Andaluz

Cita de: Inflamable!!! en 25 Mayo 2016, 23:53 PM
Te dije en una maquina virtual,porque si tu vas a bajar un archivo que no sabes si estara infectado,pues tu metes este programa en la   maquina y bajas el archivo ay,y si al ejecutarlo ves que esta infectado,pues te infectara la makina y no el pc entero,porque si tu lo tienes directamente en el pc,este programa lo que hace es ejecutarlo y ver sus conexiones y demas historias que tendra,y si efectivamente el archivo estaba infectado se te cuela pa dentro el virus,no se si esta herramienta tambien te dice que archivos se crearon al ejecutarse y en que carpeta,haber si me animo hoy o mañana y la pruebo,pero como tu dices el video explicando un poco el funcionamiento seria la ostia.
saludos.

Pues vaya gracia si me instalo eso directamente, pero para eso existen lo antivirus Inflamable para pasarselo y detectar si tiene algún virus, digo yo a mi antimalware y mi AVG te aseguro que lo detecta todo.

Pero viniendo de usuarios desconocidos no podemos fiarnos debería poner que esta libre de virus o eso un vídeo explicando como se ejecuta sería mucho mejor claro esta.

Saludos.

Arnaldo Otegi

#6
Estas tools son mejor que un av,se tienen en una virtual para evitar que el virus se te ejecute entu pc,pero son las que usan los moderadores para analizar las cosas,los antivirus son una cagada,yo por ejemplo si cojo una foto y la bindeo con un server indetectable a los antivirus,tu vas a analizar por ejemplo con avg,y no vas aver nada,sin envargo si usa esta herramienta y veo que una foto cuando la ejecuto para verla se conecta a abc.ddns.net,ya se que se esta conectando a una direccion no ip y eso las fotos no lo hacen XD por poner un ejmplo,y sigo sin probarla,pero tambien te dira que procesos se abrieron y demas cosas que por ejemplo una simple foto no deberia conectarse a ningun dns,ni abrir procesos o cosas asi,el av le das a analizar y no te dice nada del archivo,solo si esta limpio o no,esta te muestra su funcionamiento despues de ser ejecutado por asi decirlo y tu podras determinar si es un virus o no,si te fias de los antivirus estas jodido,tu en la makina virtual ademas puedes tener un antivirus tambien,te instalas el windows que te guste y bajas de todo sin miedo a infectarte,luego lo analizas y si ves que esta limpio lo puedes pasar al pc,imagino q ya sabras como va virtual box,y en lo de que si esta infectada pienso que no, ya lleva tiempo y digo yo que los mod se encargaran de analizar todos los archivos que se dejan en el foro.
saludos.

MCKSys Argentina

Por lo que dice en la web, es sólo un analizador estático:

Citar
It is a tool for analysis of Windows executable files, in order to quickly identify if this is or is not a malware. Most analyzes are based on the extraction of strings "ANSI" and "UNICODE" in disk, but also works with "Memory Dumps". Obviously, the latter option might compromise the security of your computer when you run the samples, so it's recommended make this in laboratory systems.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


El_Andaluz

#8
Cita de: Inflamable!!! en 26 Mayo 2016, 01:55 AM
Estas tools son mejor que un av,se tienen en una virtual para evitar que el virus se te ejecute entu pc,pero son las que usan los moderadores para analizar las cosas,los antivirus son una cagada,yo por ejemplo si cojo una foto y la bindeo con un server indetectable a los antivirus,tu vas a analizar por ejemplo con avg,y no vas aver nada,sin envargo si usa esta herramienta y veo que una foto cuando la ejecuto para verla se conecta a abc.ddns.net,ya se que se esta conectando a una direccion no ip y eso las fotos no lo hacen XD por poner un ejmplo,y sigo sin probarla,pero tambien te dira que procesos se abrieron y demas cosas que por ejemplo una simple foto no deberia conectarse a ningun dns,ni abrir procesos o cosas asi,el av le das a analizar y no te dice nada del archivo,solo si esta limpio o no,esta te muestra su funcionamiento despues de ser ejecutado por asi decirlo y tu podras determinar si es un virus o no,si te fias de los antivirus estas jodido,tu en la makina virtual ademas puedes tener un antivirus tambien,te instalas el windows que te guste y bajas de todo sin miedo a infectarte,luego lo analizas y si ves que esta limpio lo puedes pasar al pc,imagino q ya sabras como va virtual box,y en lo de que si esta infectada digo yo que no que ya lleva tiempo y digo que los mod se encargaran de analizar todos los archivos que se dejan en el foro,y usan estas herramientas no antivirus.
saludos.

Si se lo que es el virtual box lo he tenido instalado hace tiempo para emular cualquier sistema operativo y la maquina virtual hace mas o menos lo mismo.

Hombre lo puedo analizar también con el Malwarebytes esos archivos digo yo no se que programa utilizan los moderadores para analizar estos tipos de archivos me imagino que lo revisarán.

Bueno pruebalo y nos cuenta que tal. :xD

Arnaldo Otegi

#9
el malware bits es un suplemento al antivirus,pero es lo mismo,no da detalles de lo que hace el archivo al ejecutarse,solo dice limpio o infectado,y si es un virus decente te lo comes con patatas,si lo analizas con esto no,porque ya ves el comportamiento del archivo y que modifica,si se conecta a algun sitio,eso segun las opciones que tenga la herramienta,yo esta haber si la pruebo,pero sera una cosa como esta mira te dejo un video para que veas mas o menos lo que hacen estas herramientas,el tio usa n server de un troyano y lo analiza,si ese server lo haces indetectable,aunque lo analices con cuaalquier av normal no podras detectarlo, por eso se usan estas herramientas para analizar las cosas,malware bits es como te dije un suplemento que detecta los virus tipicos registrados en su base de datos,pero a la hora de la verdad es una ***** XD,fiate mejor del AVG,pero si de verdad quieres saber si un archivo esta infectado tendras que usar este tipo de herramientas, hay bastantes por ay, y el video:

[youtube=640,360]https://www.youtube.com/watch?v=nLaFt9qRDgI[/youtube]