4n4lDetector is a scan tool for Microsoft Windows executables, libraries, drivers and mdumps. Its main objective is to collect the necessary information to facilitate the identification of malicious code within the analyzed files. This tool analyzes, among other things, the PE header and its structure, the content of the sections, the different types of strings, among many other things. It also incorporates a multitude of its own ideas to recognize anomalies in the construction of files and the detection of mechanisms used by current malware.
- 64 bits (AMD64, x86-64, x64, ARMv8)
Using the tool is simple, just configure the options in the drop-down panel on the right and drag the samples into 4n4lDetector.
- 64 bits (AMD64, x86-64, x64, ARMv8)
TI and ET Extraction:
Alpha AXP, ARM, ARM Thumb-2 (32-bit Thumb), ARM64, EFI Byte Code, EFI Byte Code (EBC), Hitachi SH3, Hitachi SH3, Hitachi SH4, Hitachi SH5, Intel i860, Intel Itanium (IA-64), M32R, MIPS16, MIPS16 with FPU, MIPS R3000, MIPS R4000, MIPS with FPU, MIPS little-endian, MIPS little-endian WCE v2, x64, x86, x86-64.
Buttons code:
- Buttons colored green are action buttons that open files and folders or are used to interact with the tool's utilities.
- The buttons colored in red perform reconfigurations, deletion of data or reset of functional files.
- Purple buttons announce the activation of online interactions.
- The pink buttons are shortcut buttons that the tool uses as tabs to navigate between different types of utilities.
- The buttons colored in red perform reconfigurations, deletion of data or reset of functional files.
- Purple buttons announce the activation of online interactions.
- The pink buttons are shortcut buttons that the tool uses as tabs to navigate between different types of utilities.
PE chart code:
- The executable header is displayed in light blue.
- The executable sections are pink.
- Non-executable sections are black.
- Code added to executables externally to a compiler appears in red. (Cryptists, Folders, Carpenters...)
- [A] Main analysis tab
- [W] Analysis tab in modifiable HTML format for report (WebView)
- [S] Viewer of strings extracted from the parsed file
- [V] Module with the Virustotal report using its API
PE Information, Unusual Entry Point Position or Code (Algorithms, Anomalous Instructions...), Packers, Compilations, Binders/Joiners/Crypters, Architectures, Possible malicious functions, Registry Keys, Files Access, Juicy Words, Anti-VM/Sandbox/Debug, URLs Extractor, Payloads, AV Services, Duplicate Sections, IP/Domains List, Config RAT (Only In Memory Dumps), Call API By Name, Unusual Chars In Description File (Polymorphic Patterns), Rich Signature Analyzer, CheckSum Integrity Problem, PE Integrity Check, SQL Queries, Emails, Malicious resources, PE Carve, Exploits, File Rules for Entry Points and more... 😃
- [W] Analysis tab in modifiable HTML format for report (WebView)
- [S] Viewer of strings extracted from the parsed file
- [V] Module with the Virustotal report using its API
Start the graphical interface parsing a file from the console:
4n4lDetector.exe Path\App.exe -GUI
Remove binary after scan:
4n4lDetector.exe Path\App.exe -GREMOVE
Parse a file from the console and the output is written to a TXT file:
4n4lDetector.exe Path\App.exe -TXT
Parse a file from the console and the output is written to HTML file:
4n4lDetector.exe Path\App.exe -HTML
10/07/2024
Spanish Videos:
Resources x86/x64:
Virustotal API Module:
Saludos 4n4les! ;)
Botnet, Email, NOP Cave, CheckSum...:
Strings Module:
Example DAFe (http://www.enelpc.com/search/label/M%C3%A9todo%20DAFe):
Entry Point Analysis and disassembler:
Example Malware Bedep, (Export Table, Unusual Entry Point...):
Polymorphic Crypter:
Bedep Malware Mother Fucker Jump! ;)
Generated with PESCrambler:
Metasploit Shellcode Injection:
joselin dice: buena tool soy el primero !
ResponderEliminarGracias Joselin, sí el resto de personas habló en la entrada de la página principal jeje
EliminarMuchas Gracias! :)
Excelente la uso siempre.es lo mejor que has inventado. para añadirla a virus total
ResponderEliminarMuchas gracias, no sé si se trata de la mejor idea, pero sin duda es la más sencilla de ejecutar :)
EliminarPorque el loaddll es detectado por tantos antivirus como troyano?
ResponderEliminar¿Porque LoadDLL esta protegido con un cripter vb y con UPX?
ResponderEliminarHola!
ResponderEliminarLo están detectando con rutinas genéricas, porque utilicé diferentes modos de compresión sobre el binario. Son todo falsas alertas, no obstante para la futura versión compilaré otro binario. :)
ya la encontre sensei jejej ahora lo descargo :) se ve muy bueno
ResponderEliminarQue tal amigo una consulta como es que se usa tu herramienta ????
ResponderEliminarMe gusta la Tool, te hago una consulta
ResponderEliminar¿Por que esta en ingles?
Hola Ichigo, todas mis aplicaciones están siempre en Español como idioma principal y de forma opcional el Inglés. Esta herramienta al contener tan pocos botones y ser de tan sencillo uso, he preferido ponerla en este idioma. En esta publicación tienes la descripción en Inglés, pero si quieres saber como he ido incluyendo nuevas ideas a la herramienta, tienes el siguiente enlace:
Eliminarhttp://www.enelpc.com/search/label/4n4lDetector
Saludos!
Saludos, creo que se veria muy nitido el que le añadieras una cosilla, finita pero buenisima y que ayudaria en cierta manera, y es el de analizar archivos *.lnk directamente, lo que se hace es tomar la ruta del *.lnk pasarla por un `WShell.Script` que luego retornaria la ruta en donde se encuentra actualmente el ejecutable.
ResponderEliminarOption Explicit
Private Sub Command1_Click()
MsgBox GetTargetPath("ShortCut Filename")
End Sub
Function GetTargetPath(ByVal FileName As String)
Dim Obj As Object
Set Obj = CreateObject("WScript.Shell")
Dim Shortcut As Object
Set Shortcut = Obj.CreateShortcut(FileName)
GetTargetPath = Shortcut.TargetPath
Shortcut.Save
End Function
Muchas gracias por tu ayuda, con código y todo!! lo tomaré en cuenta para una próxima versión!
EliminarSaludos! =D
hola buen día, me gusta este aplicativo es muy útil nose porque recién me salto una alarma del antivirus mostrando un virus "Hora;Módulo de exploración;Tipo de objeto;Objeto;Amenaza;Acción;Usuario;Información;Hash;Visto por primera vez aquí
ResponderEliminar16/01/2018 5:25:34 p. m.;Protección del sistema de archivos en tiempo real;archivo;C:\users\colcrt\desktop\4n4ldetector v1.1\4n4ldetector.exe;una variante de Generik.LHRBLW troyano;
Hola buenas noches, perdona la tardanza.
EliminarNo es recomendable utilizar HackTools con en antivirus funcionando, como ves la detección es una regla genérica que ha saltado con alguna actualización en la base de firmas de tu antivirus. Te recomiendo descargar la última versión, es bastante más completa.
Un saludo!
NO ME SALE PARA DESCARGAR . Y EL INDICE ME MANDA A OTRO LADO .. LUEGO SALE PAGINA ERROR. HELP
ResponderEliminarAquí todo funciona correctamente. Prueba desde otro sistema.
EliminarThank you for this tool. Works 100%
ResponderEliminarHi,
ResponderEliminarAbout the "string" search problem, can you please support the search of non-English text?
For example:Chinese
thank you.
Hello,
EliminarYou can use the Rules File option and include the words to be identified in hexadecimal format to avoid problems. You can also search for multiple words as you'll find in the 4n4l.rules example.
All the best!
Hello,
ResponderEliminarThis requirement may be difficult, can you add a function to detect the real OEP for compressed and encrypted shells (e.g. VMP) and bundled shells? thank you.
This request is included in version v1.9 for x86 executables.
EliminarGreetings!