4n4lDetector v1.3

Iniciado por 4n0nym0us, 24 Mayo 2016, 22:13 PM

0 Miembros y 2 Visitantes están viendo este tema.

fary

Es una herramienta interesante  :p

Un byte a la izquierda.

4n0nym0us

Hola qué tal? respondo para todo aquel que tenga dudas:

El punto fuerte de la herramienta es el análisis estático, la opción de los memory dumps para mi es algo secundario, porque esto supone ejecutar la muestra y para eso te montas un cuckoo. Esta mira las estructuras lógicas del PE, en busca de anomalías a causa de modificaciones del binario tras su compilación. Tiene detecciones de métodos para la evasión antivirus, crypters y binders, injertos en code caves, modificaciones de la firma Rich de Microsoft, detección de Payloads y Shellcodes, packers, extracción de strings como rutas, nombres de archivos, emails, IPs, SQL Queries, búsquedas de códigos maliciosos tras los Entry Points, tales como algoritmos o saltos, extracción de claves de registro, verificaciones de la integridad del binario, un modo nuevo para visualizar cadenas que puedan contener información extra, métodos Anti-Debug, Configs de Rats...

La inteligencia para saber si la muestra que te encuentras analizando es un malware, eres tú.

PD: El_Andaluz, ya te digo yo que ni tu antimalware, ni tu AVG, te van a proteger de todo. ;)
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.

El_Andaluz

CitarPD: El_Andaluz, ya te digo yo que ni tu antimalware, ni tu AVG, te van a proteger de todo. ;)

Hombre de todo no pero de lo básico si algo es algo. ;D

Lo que si nos gustaría o por lo a mi, si a ti no te importa es que pusieras algún vídeo tutorial de como funcionar el programa.

Saludos.


4n0nym0us

#13
El uso es muy sencillo, tan solo hay que arrastrar la muestra a la caja negra. También puedes lanzarla por consola como indica el Leeme.txt o desde el desplegable del botón derecho tras instalar el .REG, que 4n4lDetector crea en la carpeta raíz al ejecutarse.



4n4lDetector solo muestra lo que encuentra. Lo más complejo puede ser entender la información, pero eso depende del nivel del analista.

Saludos!  :)

MOD EDIT: Imagen redimensionada al maximo acotumbrado en el foro.
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.

Arnaldo Otegi

Yo ya la probe y funciona perfecta,lo que estaria bien es que enseñase el nombre del dns al que se conecta,pero por lo demas esta mui bien y mui completa.
saludos.

4n0nym0us

Holaaa! me alegro de que te guste! la herramienta no realiza peticiones a internet, con lo que quizás en un futuro agregue alguna opción para hacer resoluciones dns y cosas por el estilo... por ahora me centro en los binarios, que tienen para mucho jeje

Saludos!  :P
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.

Luis Leon B

¿Sigues trabajando en esto? en qué lenguaje lo haces? Pasa el source si no  :P

4n0nym0us

Disculpa la tardanza... me había ido a comprar tabaco  :P

Tengo una versión más actual publicada en http://www.enelpc.com/p/4n4ldetector.html, aunque la versión incorporada dentro del debugger se encuentra más pulida http://www.enelpc.com/p/enelpc-dbg.html.

No obstante ya estoy desarrollando una que puede quedar fina filipina.. además de corregir varios fallos traerá cosas nuevas como creación de reglas de detección simples personalizadas desde un archivo, se extraen los nombres de las secciones además de idetificación de las que contienen el flag de código ejecutable y alguna cosa más, no tardaré en publicarla.

Secciones:
https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22382434_10155687767377970_6893889858829389863_o.jpg?oh=3bc7fd40c66f0dc7f32eeb974914f9c5&oe=5A6EC659

4n4lRules:
https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22290082_10155674573457970_3852618583063143953_o.jpg?oh=ebab4db0a137cb641315793df8a1b7c6&oe=5A698D43

Un saludo!
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.

El_Andaluz

4n0nym0us: Buenas y ante de todo gracias por el aporte y actualizar esta genial herramienta me gustaría saber si le has añadido alguna opción de que este en Español por lo que veo esta todo en ingles espero que no tardes mucho entrar y ver mi sugerencia. ;D

Y una ultima pregunta cuando va ser la definitiva o tendrás que hacer mas versiones ?

4n0nym0us

En cuanto al idioma es la primera herramienta que publiqué desde su inicio en inglés y no tengo pensado agregar el español, creo que es bastante intuitiva y no tiene demasiados botones como para llegar a confusiones, si hay dudas me pueden contactar sin problemas.

Sobre lo de saber cuando será la versión final, no lo tengo claro, supongo que cuando me aburra de ella o tenga otros proyectos en mente que me roben el tiempo.. por ahora solo tengo Insanity Protector, mientras no se terminen las ideas ;)

Saludos!
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.