Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - 4n0nym0us

#1
Análisis y Diseño de Malware / 4n4lDetector v1.5
9 Noviembre 2017, 00:29 AM
Les dejo por aquí la última versión de 4n4lDetector.  :rolleyes:

 
  • Arreglo de un bug (jodido) con la opción " -TXT" para ejecuciones por consola.
     
  • Añadida la posibilidad de abrir ficheros LNK para resolver automáticamente la ruta del ejecutable.
     
  • El botón "Add File", permite realizar una búsqueda de archivos más sencilla.
     
  • Arreglado un bug en el buscador de palabras de la interfaz principal.
     
  • Mejorada la función de limpieza que elimina caracteres extraños de la salida.
     
  • Agregada la extracción del nombre de secciones.
     
  • Agregada la opción de seleccionar un diccionario de palabras y códigos en hexadecimal para buscar en el binario de forma personalizada.
          -> "H" Define la cadena en hexadecimal.
          -> "T" Define la cadena como texto.
          -> El último campo separado por ":" se trata de la descripción utilizada en la salida de 4n4lDetector.



    Descarga: http://www.enelpc.com/p/4n4ldetector.html
#2
En cuanto al idioma es la primera herramienta que publiqué desde su inicio en inglés y no tengo pensado agregar el español, creo que es bastante intuitiva y no tiene demasiados botones como para llegar a confusiones, si hay dudas me pueden contactar sin problemas.

Sobre lo de saber cuando será la versión final, no lo tengo claro, supongo que cuando me aburra de ella o tenga otros proyectos en mente que me roben el tiempo.. por ahora solo tengo Insanity Protector, mientras no se terminen las ideas ;)

Saludos!
#3
Disculpa la tardanza... me había ido a comprar tabaco  :P

Tengo una versión más actual publicada en http://www.enelpc.com/p/4n4ldetector.html, aunque la versión incorporada dentro del debugger se encuentra más pulida http://www.enelpc.com/p/enelpc-dbg.html.

No obstante ya estoy desarrollando una que puede quedar fina filipina.. además de corregir varios fallos traerá cosas nuevas como creación de reglas de detección simples personalizadas desde un archivo, se extraen los nombres de las secciones además de idetificación de las que contienen el flag de código ejecutable y alguna cosa más, no tardaré en publicarla.

Secciones:
https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22382434_10155687767377970_6893889858829389863_o.jpg?oh=3bc7fd40c66f0dc7f32eeb974914f9c5&oe=5A6EC659

4n4lRules:
https://scontent-mad1-1.xx.fbcdn.net/v/t31.0-8/22290082_10155674573457970_3852618583063143953_o.jpg?oh=ebab4db0a137cb641315793df8a1b7c6&oe=5A698D43

Un saludo!
#4
Software / Insanity Protector
23 Noviembre 2016, 22:14 PM
Tested Insanity Protector
Windows 7, 8.1, 10.



Loader

    It uses two encryption algorithms to prevent antivirus detection after joining with your app. This method is able to Bypass AVs proactives.
    The loader is developed in Visual Basic 6, currently compiled in PECode and FUD.
    Your application will be compressed with UPX by Insanity Software before being encrypted.
    An encrypted RunPE method is used and is out of the loader.
    The loader and the encrypted file are joined with Iexpress. It is also FUD.




23-11-2016
(Loader & Protected.exe)



Download: http://www.enelpc.com/p/insanity-protector.html
#5
Hola buenos días!

No se trata de un malware, incluso está firmada por Microsoft. Puede haber entrado por alguna actualización de Windows... aparece tanta información acerca del sistema porque se trata de un "explorer.exe"  :-*
#6
Holaaa! me alegro de que te guste! la herramienta no realiza peticiones a internet, con lo que quizás en un futuro agregue alguna opción para hacer resoluciones dns y cosas por el estilo... por ahora me centro en los binarios, que tienen para mucho jeje

Saludos!  :P
#7
El uso es muy sencillo, tan solo hay que arrastrar la muestra a la caja negra. También puedes lanzarla por consola como indica el Leeme.txt o desde el desplegable del botón derecho tras instalar el .REG, que 4n4lDetector crea en la carpeta raíz al ejecutarse.



4n4lDetector solo muestra lo que encuentra. Lo más complejo puede ser entender la información, pero eso depende del nivel del analista.

Saludos!  :)

MOD EDIT: Imagen redimensionada al maximo acotumbrado en el foro.
#8
Hola qué tal? respondo para todo aquel que tenga dudas:

El punto fuerte de la herramienta es el análisis estático, la opción de los memory dumps para mi es algo secundario, porque esto supone ejecutar la muestra y para eso te montas un cuckoo. Esta mira las estructuras lógicas del PE, en busca de anomalías a causa de modificaciones del binario tras su compilación. Tiene detecciones de métodos para la evasión antivirus, crypters y binders, injertos en code caves, modificaciones de la firma Rich de Microsoft, detección de Payloads y Shellcodes, packers, extracción de strings como rutas, nombres de archivos, emails, IPs, SQL Queries, búsquedas de códigos maliciosos tras los Entry Points, tales como algoritmos o saltos, extracción de claves de registro, verificaciones de la integridad del binario, un modo nuevo para visualizar cadenas que puedan contener información extra, métodos Anti-Debug, Configs de Rats...

La inteligencia para saber si la muestra que te encuentras analizando es un malware, eres tú.

PD: El_Andaluz, ya te digo yo que ni tu antimalware, ni tu AVG, te van a proteger de todo. ;)
#9
Les traigo la última versión de mi herramienta de análisis de malware. ¡Qué la disfruten!  :P



Descarga: http://www.enelpc.com/p/4n4ldetector.html

 
  • Arreglado un bug en la extracción de algunas versiones de UPX.
     
  • Extracción de las SQL Queries contenidas en el binario.
     
  • Se cuentan el número de bloques de 5 NOPs existentes, en busca de Code Caves.
     
  • Se comprueban más códigos inusuales tras el Entry Point.
     
  • Agregada la extracción de funciones Zw (Modo Kernel).
     
  • Agregadas deteciones de polimorfismo. (PEScrambler)
     
  • Agregada una rutina de recuento de caracteres Ascii y caracteres nulos.
     
  • Agregado el botón "Show Options", donde se encuentran muchas de las funcionalidades.
     
  • Agregado un módulo para la extracción de correos electrónicos.
     
  • Agregado un módulo para la extracción de direcciones IP.
     
  • Agregado un aviso al encontrar una firma digital.
     
  • Agregado Drag&Drop a la caja de texto donde se muestra la información.
     
  • Agregado un algoritmo de revision del DOS Header al módulo de Heurística.
     
  • Mejorada la limpieza en la que se muestran las cadenas extraidas.
     
  • Agregado un nuevo botón a la interfáz principal, con el objetivo de visualizar las cadenas que el binario contiene.
     
  • Agregado un buscador de palabras.
     
  • Agregados dos botones que se activan tras la utilización del botón "Strings", los cuales permiten navegar entre la información principal y la obtenida con dicho botón.

    Algunos Ejemplos:







    Saludos 4n4les! ;)
#10
Actualizo:

Antivirus K.O. Ordinal Numbers vs API Names
Modificación sobre el nombre de las APIs declaradas en un binario, utilizando en su defecto llamadas a las mismas mediante su número ordinal.
http://goo.gl/gpBiM5