4n0nym0us escribió: 11 Mar 2022, 14:12 Hola muñecos y muñecas, he seguido actualizando esta herramienta... abro post para dejarles las últimas cositas incluidas, espero que la disfruten 

4n4lDetector es una herramienta de análisis de archivos ejecutables, bibliotecas, controladores y mdumps de Microsoft Windows para x86 y x64. A partir de la versión 1.8, también se incluye un uso extendido para analizar anomalías en los ejecutables ELF de Linux. Su principal objetivo es recopilar la información necesaria para facilitar la identificación de código malicioso dentro de los archivos analizados. Esta herramienta analiza, entre otras cosas, la cabecera PE y su estructura, el contenido de las secciones, los diferentes tipos de cadenas, entre muchas otras cosas. También incorpora multitud de ideas propias para reconocer anomalías en la construcción de los ejecutables y la detección de mecanismos utilizados usualmente en el malware actual.

  [+] Detección de doble cabecera en ejecutables ELF Linux
  [+] Se incluye la extracción del número de versión de UPX para ejecutables ELF Linux (Muy utilizado en malware actualmente)
  [+] Agregada la identificación de todos los tipos de ejecutables ELF Linux
  [+] La interfaz de usuario es más amigable que nunca.
  [+] Se incluye el primer fragmento de la Rich signature en caso de encontrarlo.
  [+] He tardado 9 versiones de 4n4lDetector... pero ha llegado, ya se puede maximizar el formulario!
  [+] Mejorado el algoritmo de identificación de correos electrónicos para evitar direcciones duplicadas.
  [+] Solucionado un bug que podría cerrar la aplicación inesperadamente tras la apertura de un tipo específico de fichero. 
  [+] Mejorada la limpieza de cadenas tras la extracción de librerías en formato UNICODE.
  [+] Solucionado un bug al mostrar las funciones disponibles y su recuento en la tabla de exportaciones.
  [+] Agregada una funcionalidad de visualización de reportes "[W]" desde un visor Web con las siguientes herramientas
       -> Opciones de modificación del título y contenido del reporte
       -> Un visor del código HTML generado para la visualización
       -> Un botón para realizar el salvado del reporte a un documento
       -> Integrado un botón para la apertura de la carpeta que alberga todos los reportes guardados
  [+] Agregado el parámetro "-HTML" para la extracción de reportes en formato HTML por consola:
       -> 4n4lDetector.exe Path\App.exe -HTML

 

Descarga: [Enlace externo eliminado para invitados]

Ya ha salido la versión 2.8 de #4n4lDetector junto a un vídeo para aprender a analizar el servidor del troyano #LarryLurexRAT. Este se trata de una modificación de #DarkComet realizada desde #debugger por mí mismo. También reviso técnicas de evasión de motores antivirus basados en comportamiento y sistemas #EDR. Además, abordo la extracción de #IOCs y la recolección de información previa a un ejercicio de #reversing de #malware.

Descarga:
[Enlace externo eliminado para invitados]
Vídeo:
[Enlace externo eliminado para invitados]

Añadidos en esta versión:
  [+] Se añade un aviso en el apartado de secciones cuando la sección identificada sea ejecutable.
  [+] Ahora se calculan también los Hashes SHA-256 y SHA-1 de todos los archivos analizados.
  [+] Incluído el nombre original de la librería analizada en el botón de "[Export Table]".
  [+] Ahora 4n4lDetector es capaz de identificar contenido en las Import Table a pesar de que el Offset "Original First Thunk" se encuentre a "0" como en los comprimidos de UPX.
  [+] El módulo "Settings" ahora tiene una sutíl optimización para evitar congelamientos durante la descarga de las notificaciones.
  [+] Se ha optimizado el código encargado de la extracción de recursos, ahora es más rápido.
  [+] Se ha reestructurado la extracción de los Entry Points, optimizando su código y mejorando la velocidad de extracción.
  [+] Se optimizaron y eliminaron algunas de las reglas internas de 4n4lDetector para evitar algunos falsos positivos.
  [+] Se modificó el algoritmo extractor de descripciones de archivo, ahora es más efectivo.
  [+] El resultado del Carving PE se almacena ahora en una carpeta llamada PECarve dentro del apartado de análisis. 
  [+] Se reubicó la información de Virustotal en el panel principal. (Utilicen sus API_KEY personales).
      [-] SORRY MICROSOFT... Creo que estamos en paz después de esa detección de CobaltStrike <3 
  [+] El apartado de "IT Functions:" del análisis principal pasa a llamarse "Suspicious functions:", siendo este más acertado.
      [-] Ahora las funciones cuentan con una descripción de sus funcionalidades.
  [+] Ahora la funcionalidad de "Strings" se ejecuta de manera automática, visible en el botón "S" tras los análisis mientras "Intelligent Strings" esté activo.
      [-] Aumentada la efectividad y la velocidad del módulo "Intelligent Strings" y de la funcionalidad "Strings".
  [+] La opción "Sections Info" ahora es interna y en su lugar se ha creado una opcional para descomprimir muestras UPX.
      [-] Las muestras descomprimidas se almacenan en la ruta de análisis, dentro de una carpeta llamada UPX.
      [-] El binario UPX se encuentra en la raíz de 4n4lDetector, en una carpeta llamada "bin" siendo modificable por el usuario.
  [+] Ahora se agrupa la verificación de ejecutables firmados,la firma del checksum y la firma Rich en el apartado "Signatures".
  [+] Cambios en el manejo de la firma Rich.
      [-] Se extrae la firma al completo, no solo la primera parte.
      [-] Se agregó un hash para su detección.
      [-] se verifica la integridad de la misma con una revisión del algoritmo antiguo.
  [+] Se ha agreado una herramienta nueva para realizar extracción de Offsets diréctamente del ejecutable y visiualizar sus contenidos.
      [-] Ahora es posible realizar búsquedas de código manualmente en hexadecimal, ASCII y UNICODE.
      [-] También se ha incluido una funcionalidad para revisar el código en ensamblador.
      [-] Esta herramienta ejecuta sus funciones principales de forma automática con el Entry Point tras cada análisis.
  [+] Se agregó la extracción de las tablas de importación y exportación del resto de arquitecturas ejecutables existentes.
      [-] Alpha AXP, ARM, EFI Byte Code, EFI Byte Code (EBC), Hitachi SH3, Hitachi SH3, Hitachi SH3, Hitachi SH4, Hitachi SH5, Intel Itanium (IA-64), Intel i860, M32R, MIPS16, MIPS16 with FPU, MIPS R3000, MIPS R4000, MIPS little-endian, MIPS little-endian WCE v2, MIPS with FPU.


 

4n0nym0us escribió: 02 Jun 2024, 15:51 Ya ha salido la versión 2.8 de #4n4lDetector junto a un vídeo para aprender a analizar el servidor del troyano #LarryLurexRAT. Este se trata de una modificación de #DarkComet realizada desde #debugger por mí mismo. También reviso técnicas de evasión de motores antivirus basados en comportamiento y sistemas #EDR. Además, abordo la extracción de #IOCs y la recolección de información previa a un ejercicio de #reversing de #malware.

Descarga:
[Enlace externo eliminado para invitados]
Vídeo:
[Enlace externo eliminado para invitados]

Añadidos en esta versión:
  [+] Se añade un aviso en el apartado de secciones cuando la sección identificada sea ejecutable.
  [+] Ahora se calculan también los Hashes SHA-256 y SHA-1 de todos los archivos analizados.
  [+] Incluído el nombre original de la librería analizada en el botón de "[Export Table]".
  [+] Ahora 4n4lDetector es capaz de identificar contenido en las Import Table a pesar de que el Offset "Original First Thunk" se encuentre a "0" como en los comprimidos de UPX.
  [+] El módulo "Settings" ahora tiene una sutíl optimización para evitar congelamientos durante la descarga de las notificaciones.
  [+] Se ha optimizado el código encargado de la extracción de recursos, ahora es más rápido.
  [+] Se ha reestructurado la extracción de los Entry Points, optimizando su código y mejorando la velocidad de extracción.
  [+] Se optimizaron y eliminaron algunas de las reglas internas de 4n4lDetector para evitar algunos falsos positivos.
  [+] Se modificó el algoritmo extractor de descripciones de archivo, ahora es más efectivo.
  [+] El resultado del Carving PE se almacena ahora en una carpeta llamada PECarve dentro del apartado de análisis. 
  [+] Se reubicó la información de Virustotal en el panel principal. (Utilicen sus API_KEY personales).
      [-] SORRY MICROSOFT... Creo que estamos en paz después de esa detección de CobaltStrike <3 
  [+] El apartado de "IT Functions:" del análisis principal pasa a llamarse "Suspicious functions:", siendo este más acertado.
      [-] Ahora las funciones cuentan con una descripción de sus funcionalidades.
  [+] Ahora la funcionalidad de "Strings" se ejecuta de manera automática, visible en el botón "S" tras los análisis mientras "Intelligent Strings" esté activo.
      [-] Aumentada la efectividad y la velocidad del módulo "Intelligent Strings" y de la funcionalidad "Strings".
  [+] La opción "Sections Info" ahora es interna y en su lugar se ha creado una opcional para descomprimir muestras UPX.
      [-] Las muestras descomprimidas se almacenan en la ruta de análisis, dentro de una carpeta llamada UPX.
      [-] El binario UPX se encuentra en la raíz de 4n4lDetector, en una carpeta llamada "bin" siendo modificable por el usuario.
  [+] Ahora se agrupa la verificación de ejecutables firmados,la firma del checksum y la firma Rich en el apartado "Signatures".
  [+] Cambios en el manejo de la firma Rich.
      [-] Se extrae la firma al completo, no solo la primera parte.
      [-] Se agregó un hash para su detección.
      [-] se verifica la integridad de la misma con una revisión del algoritmo antiguo.
  [+] Se ha agreado una herramienta nueva para realizar extracción de Offsets diréctamente del ejecutable y visiualizar sus contenidos.
      [-] Ahora es posible realizar búsquedas de código manualmente en hexadecimal, ASCII y UNICODE.
      [-] También se ha incluido una funcionalidad para revisar el código en ensamblador.
      [-] Esta herramienta ejecuta sus funciones principales de forma automática con el Entry Point tras cada análisis.
  [+] Se agregó la extracción de las tablas de importación y exportación del resto de arquitecturas ejecutables existentes.
      [-] Alpha AXP, ARM, EFI Byte Code, EFI Byte Code (EBC), Hitachi SH3, Hitachi SH3, Hitachi SH3, Hitachi SH4, Hitachi SH5, Intel Itanium (IA-64), Intel i860, M32R, MIPS16, MIPS16 with FPU, MIPS R3000, MIPS R4000, MIPS little-endian, MIPS little-endian WCE v2, MIPS with FPU.



 

Nada a disfrutarla! No os corteis en contestar mensajes del apartado de notificaciones de la herramienta.. las ideas son bienvenidas. Un saludo! 

Un saludo, y gracias por tus aportes, viejo crack 

4n4lDetector se ha comido la tarta entera. No encontrarán forma más rápida, estable y certera de realizar un análisis estático de malware, extracción de IOCs y pre-reversing. Esta versión junto a la posibilidad de revisar el buffer original del archivo, en formato texto y hexadecimal hace esta tarea mucho más sencilla. Además incorpora la gráfica analizando la estructura PE de forma visual y la posibilidad de identificar cualquier cadena desde el buscador de la herramienta sin límites entre otras muchas funcionalidades descritas a continuación.
Descarga:
[Enlace externo eliminado para invitados]

Añadidos en esta versión:
  [+] Nuevo logo de la aplicación por Sandra Badia Gimeno ([Enlace externo eliminado para invitados]).
  [+] Reubicadas las funciones Kernel-mode al apartado Suspicious Functions.
  [+] Se incluyeron sorpresas para no aburrirse con el uso diario de la herramienta.
  [+] Se realizaron multitud de pruebas enfocadas a dar la mayor estabilidad, velocidad y eficacia de los contenidos extraídos.
  [+] Optimización durante el estado en reposo. Ya no se realizan comprobaciones de creación de ficheros para las funcionalidades de PECarve y UPX.
  [+] Se incluyó la detección de las secciones que permiten escritura desde los flags.
  [+] Se ha mejorado levemente la extracción de funciones de la "Export Table" mediante Carving.
  [+] Se ha incluido el nombre del archivo bajo análisis en el contenido del informe.
  [+] Se agregó una descripción más extensa sobre las posibilidades de la función Zombie_AddRef. 
  [+] Se corrigió un bug en el que el dump de la herramienta "Show Offsets" no permitía leer una pequeña porción del final del archivo analizado.
  [+] Ahora al hacer click sobre el resultado de Virustotal del formulario principal, este nos llevará a la página web del análisis.
  [+] Se ha incluido el análisis de Virustotal a los análisis realizados desde el modo consola.
  [+] Revisión de las detecciones de Shikata_ga_nai y actualización de lo métodos heurísticos de detección de Payloads.
  [+] Aumentada y mejorada la funcionalidad de extracción de consultas de la rama de registros ASCII y UNICODE.
  [+] Aumentada y mejorada la funcionalidad de extracción de consultas SQL ASCII y UNICODE.
  [+] Aumentada y mejorada la funcionalidad de extracción de URLs, también busca FTP y SFTP en ASCII y UNICODE.
  [+] Aumentada y mejorada la funcionalidad de extracción de nombres de archivos ASCII y UNICODE.
      [-] .EXE, .DLL, .BAT, .VBS, .VBE, .JSE, .WSF, .WSH, .PS1, .PSM1, .PSC1, .SCR, .HTA, .DLL, .PIF, .MSI, .MSP, .SYS, .CPL, .JAR, .TXT, .INI, .PDF, .WDS, .DOC
  [+] El buscador de palabras ha sido completamente deslimitado para cualquier ubicación de búsqueda de las cajas de texto.
      [-] En la vista web el buscador ahora se bloquea automáticamente.
  [+] Solucionado un raro bug en el apartado de IPs que podía llevar el hilo de ejecución a un bucle sin terminar de analizar los archivos.
      [-] Esta solución además corrigió la posibilidad de terminar análisis con una sola opción activa en el panel de módulos de la herramienta.  
  [+] El módulo de 4n4l.rules convierte ahora internamente las reglas en formato texto "T:" en formato Unicode.
      [-] Se optimizaron las reglas de este archivo, ahora busca más con menos.
  [+] Se aumentan de 100 hasta 1500 los bytes a revisar en el Entry Point por el archivo de reglas.
      [-] Se revisaron algunas de las reglas para eliminar falsos positivos tras la actualización.
  [+] La lectura de los archivos de reglas se hace una sola vez tras arranzar la aplicación o tras el primer análisis, después queda cargado en memoria para próximos usos.
      [-] El estado de carga se puede revisar desde el apartado de "Settings".
  [+] Se agregó la virgulilla (~), el dolar ($), la comilla simple (') y la comilla doble (") cómo caracteres que pueden formar parte de los reportes.
      [-] Se aplica un filtro de conversión a estas comillas para la vista Web de la herramienta.
  [+] Se trabajó en la eficiencia del módulo "Intelligent Strings".  
      [-] Se aumentó la longitud de cadenas a analizar en todas las funcionalidades de Strings de la herramienta (75% cadenas más largas).
      [-] Ahora se realiza una limpieza específica de caracteres anómalos y se permiten nuevos.
      [-] Se extendieron las palabras de búsqueda.
  [+] Agregada una gráfica encargada de visualizar el contenido de los ejecutables y cualquier archivo analizado.
      [-] La cabecera ejecutable se muestra de color azul.
      [-] Las secciones identificadas se encuentran divididas entre el color magenta para las secciones ejecutables y el color negro para el resto.
      [-] El código sobrante de los ejecutables tendrá un color rojo cómo en Crypters, Binders, Joiners...
      [-] Si la sección analizada contiene un RSize a cero, el contenido de la misma no será pintado en la gráfica.      
      [-] Si el archivo no es un ejecutable de Windows, se analizarán los caracteres imprimibles y la ausencia de los mismos. De color azul y el negro cuando no exista contenido.
      [-] Al realizar doble click sobre la gráfica, esta automáticamente se guardará en la carpeta de análisis.
      [-] Las ejecuciones medinate el modo consola de la aplicación "-TXT", "-HTML" o "-GREMOVE" incluyen la gráfica cómo salida de análisis.

Esta increíble. Aún no la he probado a fondo, pero arrastré un ejecutable puro generado directamente de un RAT y, la verdad, me sorprendió. Ahorra mucho tiempo al reducir la necesidad de usar varias herramientas diferentes.
Gracias Germancillo la pondré en mi kit de tool de análisis. 

Muchas gracias xxxPoseidonxxx! Al final la herramienta en unos meses va a cumplir 10 años jajaja Yo le sigo dando caña entre canción y canción.. 

Las ideas son bienvenidas y si encontráis fallos también jeje Saludos! 

Te imaginas obtener un análisis estático de malware y generar una regla Yara funcional en menos de un segundo? ¡Con la versión 3.0 de 4n4lDetector, eso será una realidad! Esta nueva versión incluirá un innovador sistema de progresión basado en medallas, donde los analistas podrán desbloquear nuevas funcionalidades y personalizar estilos visuales mientras aprenden y se divierten. Además la herramienta cuenta con una base más optimizada, repleta de nuevas detecciones que cubren desde malware genérico hasta sofisticadas APTs y mucho más

 Descarga:
[Enlace externo eliminado para invitados]

  [+] El código de búsqueda de funciones de la Import Table y Call Api By Name ha sido optimizado.
  [+] Se ha realizado una optimización general con uno de los buffers más grandes en memoria, esto afecta positivamente a la estabilidad y velocidad del análisis general.
  [+] Aumentado por defecto el peso del archivo a analizar a 50MB.
  [+] Se realizó una optimización en el buscador de la opción "Show Offsets" y en el manejo de los buffers.
  [+] Se incluyeron búsquedas de términos sobre malware genéricos, diferentes tipos de explotación, APTs y terminologías que puedan afectar al Estado en "4n4l.Rules".
  [+] Se realiza una limpieza de bytes nulos 0x00 de la variable dónde se almacena el reporte para evitar bugs en la salida de la caja de texto del formulario principal.
  [+] La interfaz de la herramienta toma un tono más oscuro de base.
  [+] Se incluye un botón de donaciones a través de (PAYPAL) ya que he decidido finalmente seguir con el proyecto de forma pública para todo el mundo.
  [+] Se corrigió un bug en el que se podían incluir falsas funciones a la lista de la "Export Table" mediante carving.
  [+] El módulo de Interest's Words incluye nuevas palabras internas de la herramienta, para ansi y unicode.
  [+] Se corrigió un bug en la vista web que podía afectar estéticamente la vista del enunciado del módulo Interest's Words.
  [+] Se realizaron optimizaciones en el módulo Known IP/Domains para ansi y unicode.
  [+] Se incluyen nuevas sintaxis de búsqueda en el módulo "Intelligent Strings" para aumentar resultados de interés.
  [-] Se agregan sintaxis internas de limpieza para mostrar resultados más estilizados.
      [-] Se ha realizado una optimización con impacto directo en las variables utilizadas en este módulo.
  [+] Se realiza una limpieza más selectiva de las URLS extraídas:
      [-] Las URLs con extensiones en el contexto de certificados digitales PKI son reconstruidas.
      [-] Las extensiones htm son reconstruidas.
      [-] Las terminaciones de dominios ".com" son limpiados.
      [-] Se realizan limpiezas de posibles códigos HTML.
  [+] Se ha incluido un sistema de progresión basado en medallas.
      [-] Medalla Brown Padawan, Bronze Medal, Silver Medal, Gold Medal y Platinum Medal.
      [-] El proceso puede ser lento, no te desesperes... porque merece la pena.
      [-] Estas medallas se conseguirán a medida que le des uso a la herramienta durante el paso de los días, semanas, meses y consiguientemente también aumentarán sus funcionalidades progresivamente.
      [-] Las medallas solo funcionarán en la máquina de trabajo en la que se hayan conseguido, si quieres hacer que funcione en otra máquina tuya inténtalo por ti mismo (Eres un hacker no?).
      [-] Las funcionalidades o sorpresas que deparan las subidas de nivel no son incluidas en este archivo, aunque podrás revisarlas en el apartado "Settings" de la herramienta.

Actualización GRATIS para todos, todas y... todes desgraciadamente jajaa Sin duda es la versión más estable y potente hasta la fecha.

Descarga:
[Enlace externo eliminado para invitados]

  [+] Se ha incorporado un nuevo botón con ícono de virus coronario en el panel principal, el cual redirige al usuario al sitio PEscan.io al ser pulsado.
  [+] Integración manual de todas las funciones Zw junto a sus descripciones, incluyendo detección de llamadas Call API By Name.
  [+] Mejoras significativas en el módulo de recolección de información mediante consultas SQL, optimizando su rendimiento y precisión.
  [+] Optimización del proceso de detección y análisis de secciones duplicadas en archivos PE.
  [+] Reajuste en el cálculo de la dirección RVA de la tabla de exportación, ahora basada en su offset real.
  [+] Nuevos controles implementados para la extracción de la Import Table, Export Table y Resources.
  [+] Se ha añadido un control preventivo para evitar errores generales por desbordamiento de datos.
  [+] Actualización del soporte SSL para asegurar compatibilidad con la API de VirusTotal.
  [+] Se ha desactivado la descarga automática del mensaje actual en la sección Configuración; ahora requiere intervención manual del usuario.
  [+] Verificación adicional de seguridad para los botones Restablecer y Actualizaciones en Configuración, previniendo ejecuciones accidentales.
  [+] Rediseño y mejora en la presentación de informes tanto en el panel principal como en su versión HTML, orientado a una mejor experiencia de usuario.
  [+] Revisión del módulo de acceso a archivos para mejorar la extracción de HTML estilizado.
  [+] Optimización del manejo de buffers durante el análisis para mejorar el rendimiento general.
  [+] Inclusión de información adicional como la versión de .NET y una nueva bandera que indica soporte para Any CPU.
  [+] Los formularios de Configuración y Ayuda ahora se abren centrados en relación al formulario principal.
  [+] Actualización de los diccionarios de reglas para el Entry Point y las reglas personalizadas de "4n4l.Rules".
  [+] Corrección de un error esporádico en la sección de rutas de archivos.
  [+] Incorporación del formato Texto para los datos extraídos desde los recursos del ejecutable.
      [-] Revisión de la detección de ejecutables incrustados dentro de recursos.
      [-] Limitación en la extracción de texto desde recursos según el tamaño real del contenido.
  [+] Mejora en el módulo de Cadenas Inteligentes, con mayor cobertura de patrones y detecciones.
      [-] Se ha reforzado la recolección de números de serie y direcciones IP en dicho módulo.

Disfrútenla a mi salud de hacker!  

saludos amigo!!!

f3rn@ndo escribió: 09 Jun 2025, 17:56 saludos amigo!!!